Skip to main content

Data Retention (e gerarchia delle fonti)

Image
By
Qualche giorno fa leggo queste due cose scritte da zambardino: (qui e qui).

Cosimo Comella (il papà del provvedimento sugli AdS) nel corso di un convegno, organizzato da una struttura denominata PASION ha detto: “Chiunque tra il 2001 e l'inizio del 2008 abbia usato la rete internet deve sapere che tre tra i maggiori fornitori di accesso del paese (Telecom Italia, Vodafone e H3g) hanno registrato tutto il traffico di quegli anni”.

La vita di milioni di utenti passata al setaccio, dati super sensibili conservati per anni non si sa dove messi a disposizione non si sa di chi. Da rabbrividire.

Meno male (sic!) che il Garante, dopo anni di accertamenti, contestazioni e sanzioni ha provveduto con un Provvedimento generale a fermare questa “emorragia” di informazioni.

Neanche il tempo di tirare un sospiro di sollievo che mi ricordo di quest’altra notizia: nel corso di un procedimento contro ignoti per istigazione a delinquere (sul blog di Beppe Grillo un commentatore anonimo aveva invitato ad uccidere Berlusconi), il PM aveva chiesto ad H3G e a Microsoft di apprendere gli indirizzi IP di destinazione per svelare chi si celava dietro alla minaccia.

Entrambe rispondono che è troppo tardi: hanno cancellato i dati di traffico in forza delle prescrizioni contenute sia in un’apposita prescrizione (H3G) sia del citato provvedimento generale (Microsoft).

Il PM, pur perplesso, chiede l’archiviazione il GIP, invece, non solo contesta i modi dell’avvenuta cancellazione (dopo 60 gg anziché i 12 mesi previsti dalla normativa nazionale ) ma, soprattutto, tira in ballo un'altra spinosissima questione: la gerarchia delle fonti:

Dice il GIP: l’operato della magistratura nel reprimere i reati può trovare solo i limiti imposti dalla leggi e non già quelli dettati da autorità amministrative (come il Garante della Privacy), che in assenza di fondamento legale, non ha alcun titolo per prescrivere alle aziende del settore di conservare per soli due mesi gli indirizzi Ip.

Rimandando ad altro post ogni approfondimento, ritengo opportuno ripartire dalla definizione che Norme in Rete fornisce di Autorità amministrativa indipendente (cui il Garante Privacy appartiene): amministrazione dell'Ordinamento giuridico che agisce in modo indipendente rispetto al Parlamento e al Governo in settori in cui è di particolare rilevanza la figura di un soggetto imparziale rispetto agli interessi pubblici in gioco. I poteri essenzialmente attribuiti a queste autorità sono di regolazione, sorveglianza, controllo e sanzionatori nei confronti dei soggetti che agiscono in questi ambiti .

Comments

Post a Comment

Popular posts from this blog

Trattamento dati personali in un'epidemia, indicazioni per i datori di lavoro

By
Quello che segue è un estratto della dichiarazione del CEPD del 19 marzo 2020. Comitato europeo per la protezione dei dati - EDPB Estratto della “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” Adottata il 19 marzo 2020 [...] 1.2 Nel contesto lavorativo , il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Il RGPD prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell'Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali del...
Post a Comment
continua a leggere

IL BEL 'PAESONE' COSTRINGE IL GARANTE A METTERE DEI PALETTI ALL'ATTIVITA' DI INQUIRY SELVAGGIO IN AMBITO BANCARIO

By
Scorrendo il provvedimento del 12 maggio (prescrizioni in materia di circolazione delle informazioni in ambito bancario) e le motivazioni che hanno spinto l’Ufficio del Garante ad adottare un simile provvedimento, sembra di ritornare improvvisamente alla prima metà del secolo. Precisamente, sembra di ritornare a quando le rivelazioni degli adolescenti nel segreto del confessionale venivano riferite ai genitori affinchè adottassero le opportune “contromisure” educative. In una delle occasioni oggetto di reclamo al Garante, un cittadino (provvedimento del 28 maggio 2009) ha lamentato l'illecita comunicazione al proprio padre, di informazioni bancarie a sé riferite da parte della filiale di Intesa SanPaolo. Tale comunicazione sarebbe avvenuta a seguito della convocazione del padre dell’interessato presso l'istituto bancario – per il tramite della polizia municipale del comune di residenza –, il quale, "messo a conoscenza di una grave situazione debitoria in capo al figlio, co...
Post a Comment
continua a leggere

Guida all’utilizzo sicuro dei Social Media per le aziende del Made in Italy

By
Il 14 marzo 2013 al  Security Summit  di Milano, verrà presentata una pubblicazione che è il frutto del lavoro sinergico del mio Studio e di molti partner Oracle, con il coordinamento prezioso della stessa Oracle attraverso l'opera instancabile di un suo brillante manager. Questo è uno scampolo dell'interessantissimo quaderno: Le norme rilevanti Nel caso in cui un’azienda decida di fare ricorso agli strumenti del Web sociale, dovrà necessariamente tenere nella giusta considerazione alcuni atti normativi per assicurare correttezza e legittimità alla propria presenza sui Social Network. […] Forme di tutela e raccomandazioni legali L’uso dei Social Network è destinato ad incidere su alcuni processi dell’azienda, a prescindere dal fatto che questa abbia o meno intenzione di elaborare e seguire una strategia basata su di essi. Il personale (dirigenti, dipendenti, stagisti e collaboratori in genere) di un’azienda usa, infatti, i Social Network, a prescinde...
Post a Comment
continua a leggere