La normativa italiana in merito al Data Retention sui log relativi al traffico telematico (ad esclusione dei contenuti delle comunicazioni), prevede la conservazione di tali dati per un periodo di 6 mesi + 6 mesi.
Nel primo periodo si potrà accedere ai log solo per finalità di accertamento e repressione dei reati.
Nel secondo periodo si potrà accedere ai log solo per esclusive finalità di accertamento e repressione dei reati di cui all’articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.
A questi dati nel primo periodo potranno accedere solo (destinatari dei dati):
- il pubblico ministero, anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private;
- Il difensore dell’imputato o della persona sottoposta alle indagini.
Nel secondo periodo, invece, potrà accedervi solo il giudice.
Le aziende tecnicamente dovranno adottare i sistemi necessari per fare in modo che:
- l’accesso fisico ai sistemi ove risiedono i log sia ristretto al personale autorizzato, quindi l’accesso alle sale ove risiedono i server sia ristretto attraverso sistemi che identifichino univocamente l’identità: in sostanza l’acccesso ai datacenter deve avvenire attraverso sistemi biometrici e deve esserci un adeguato sistema di videoregistrazione;
- l’accesso logico ai sistemi ove risiedono i log per i primi 6 mesi potrà avvenire solo in lettura e dovrà essere limitato solo al personale autorizzato mediante il meccanismo di “strong authentication”: quindi dovrà essere previsto almeno un doppio sistema di autorizzazione (per esempio username/password o biometrico e un sistema di criptaggio dei dati come un certificato);
- l’accesso logico ai sistemi ove risiedono i log per i secondi 6 mesi potrà avvenire solo in lettura e dovrà avvenire solo dal personale autorizzato mediante il meccanismo di “strong authentication”: quindi dovrà essere previsto almeno un doppio sistema di autorizzazione di cui uno dei due sistemi sia basato su un dispositivo biometrico (per esempio biometrico e username/password o un sistema di criptaggio dei dati come un certificato). Inoltre, in questo caso, l’azienda dovrà garantire che l’accesso ai dati avvenga solo da parte di personale autorizzato diverso rispetto a quello del punto precedente;
- le comunicazioni tra diversi sistemi dovranno avvenire solo attraverso protocolli criptati;
- l’azienda deve mantenere un log degli accessi ai sistemi (audit log);
- i dati contenuti nei file log devono essere inalterabili e con data certa.
Da successivi chiarimenti da parte del legislatore, è emerso che dal punto di vista tecnico e pratico l’unico motivo per cui risulta utile differenziare lo storage dei log per i primi 6 mesi rispetto ai secondi 6 è il caso in cui tali log siano necessari ai fini di fatturazione; nel caso in cui non sussista tale necessità è possibile conservare i log in un unico storage avente le maggiori caratteristiche di sicurezza dei secondi sei mesi, per tutta la durata dei dodici mesi.
In questa sezione è disponibile la normativa di riferimento in tema di Data Retention e Log Storage.