Data Retention: illegittima la conservazione indiscriminata di dati di traffico

SaaS
Illegittima la conservazione indiscriminata di dati di traffico è questione di Data Retention

A stabilirlo è la Corte di Giustizia europea la quale chiarisce che nemmeno le esigenze di sicurezza nazionale legittimano, di per sé stesse, la conservazione indiscriminata di dati applicandosi le garanzie ed i principi in materia di protezione dei dati.

Chiara Ponti
Ufficio Compliance

 

INDICE:

Il comunicato stampa e la sentenza della CGUE

Lo scorso 6 ottobre, la Corte di giustizia dell’Unione europea con il Comunicato Stampa n. 123/20, ha confermato che la legislazione nazionale, la quale richiede al fornitore di servizi di comunicazione elettronica una conservazione indiscriminata di dati sul traffico e sulla posizione al fine di combattere la criminalità in generale o di salvaguardare la sicurezza nazionale, osta con il diritto dell’Unione.

Tuttavia, qualora ci fosse una grave minaccia per la sicurezza nazionale, è possibile derogare all’obbligo di garantire la riservatezza dei dati relativi alle comunicazioni elettroniche richiedendo sì una “conservazione generale ed indiscriminata” ma per un periodo di tempo limitato a quanto strettamente necessario o estendibile solo nella misura in cui la minaccia persista, oltre misura stabilita.

É con la sentenza Tele2 Sverige e Watson che la Corte di Giustizia si è pronunciata circa la natura sproporzionata di conservazione generale e indiscriminata dei dati sul traffico e dei dati sull’ubicazione fornendo al riguardo chiarimenti ben precisi oltre ad insistere nel ritenere che gli obblighi di inoltro e di conservazione, in modo generale ed indiscriminato, di detti dati costituiscano “interferenze particolarmente gravi con i diritti fondamentali”.

Piuttosto, occorre consentire il ricorso ad una conservazione mirata, limitata nel tempo a quanto strettamente necessario, del traffico e dei dati di localizzazione, sulla base di fattori oggettivi e non discriminatori, secondo le categorie di persone interessate.

Il Parere del Garante italiano


Tempestivamente, il Garante con un parere contestuale ha fatto sapere che le conclusioni a cui è giunta la Corte sono in linea con quanto da tempo sostenuto dall’Autorità per la protezione dei dati personali.

In pratica, il Garante afferma che «Portando a coerente conclusione il percorso iniziato con le sentenze Digital Rights e Tele2 Sverige e in analogia con le posizioni più garantiste della CEDU, la Corte esclude che quella dei trattamenti di dati funzionali a tali finalità possa essere una ‘zona franca’ impermeabile alle esigenze di tutela della persona […] Diritto che vive comunque in costante equilibrio con altri diritti, quale appunto quello alla sicurezza che, se oggetto di minaccia grave, può legittimare – afferma la Corte – anche misure invasive quali la conservazione generalizzata dei dati, purché per il solo tempo strettamente necessario e con alcune garanzie essenziali. La proporzionalità resta, dunque, la chiave per affrontare l’emergenza, in ogni campo, secondo lo Stato di diritto».

L’importanza di avere una Procedura di Data Retention , in rafforzamento all’Accountability

 

 Poiché l’obbligo di registrazione e conservazione dei log discende direttamente dal principio di accountability dettato dall’art. 24, par. 1 del GDPR, ne consegue è essenziale avere adottato una Procedura di Data Retention messa a sistema che stabilisca, in assenza di criteri ufficiali, tutti i parametri frutto di un’attenta analisi di contesto e del buon senso, calzanti e calati nella realtà, come la Sistemi HS dimostra essendosene, da tempo, dotata.

Le possibili ricadute future sui Log, in particolare nel settore delle Telecomunicazioni

 

Con il termine Log file si intende «la registrazione sequenziale e cronologica delle operazioni effettuate, da un utente, un amministratore o automatizzate, man mano che vengono eseguite dal sistema o applicazione». 

Si tratta in pratica di una modalità di tracciamento.

Con particolare riferimento ai Log nel settore delle telecomunicazioni, la recente sentenza della Corte di Giustizia nulla cambia nel senso che già ad oggi v’è un obbligo di conservazione di tali Log, ma che è limitato nel tempo: non oltre 6 anni

Ecco che su quest’ultimo aspetto, si può parlare di possibili ricadute future.

L’importanza di avere un sistema di Log Management

 

Con la rivoluzione tecnologica in atto, cresce sempre di più il bisogno di garantire sicurezzaprotezione dei dati e continuità di servizio.

La gestione dei log permette, infatti, di monitorare una serie di attività tra cui gli accessi al sistema effettuati in un dato lasso temporale, le transazioni fallite, eventuali anomalie e possibili minacce malware.

Il sistema di Log Management rappresenta quindi un potente mezzo per far fronte a queste necessità in maniera semplice ed efficace. 

Peraltro, questo strumento rappresenta una misura di accountability di conformità al GDPR che impone il “tracciamento” dell’operato del Titolare; oltre ad essere obbligatorio in seguito al Provvedimento n. 300 del 27 novembre 2008 del Garante della privacy.

Il nostro Servizio: perché sceglierlo è la scelta vincente

 

Proprio dalla conoscenza normativa sulla Privacy abbiamo sviluppato un sistema in Cloud per raccogliere i LOG e dare una soluzione unica in termini di attuabilità, affidabilità e prestazioni. 

Il nostro servizio LOG MANAGEMENT consente proprio di raccogliere, filtrare e memorizzare in Cloud ed in totale sicurezza esclusivamente i Log degli Amministratori di Sistema (ADS) ragione per la quale crediamo sia la soluzione ideale per gestire in sicurezza il registro dei log, evitando le sanzioni del Garante Privacy.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su linkedin
Condividi su twitter
Condividi su facebook
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.