Decreto Interministeriale 16 agosto Decreto Interministeriale 16 agosto 20052005Misure di preventiva acquisizione di dati anagrafici Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia punti di accesso ad Internet utilizzando tecnologia senza fili, ai sensi dell’articolo 7, comma 4, del senza fili, ai sensi dell’articolo 7, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. con modificazioni, dalla legge 31 luglio 2005, n. 155155

Decreto Pisanu Antiterrorismo

Art. 1. - Obblighi dei titolari e dei Art. 1. - Obblighi dei titolari e dei gestorigestori

Adozione di misure di sicurezzaAdozione di misure di sicurezza Identificazione degli utilizzatoriIdentificazione degli utilizzatori Conservazione dati per aut. giud. e Conservazione dati per aut. giud. e

P.S. fino al 31/12/2007 P.S. fino al 31/12/2007

Art. 2. – Monitoraggio delle Art. 2. – Monitoraggio delle attivita’attivita’

Art. 3. - Accesso alle reti Art. 3. - Accesso alle reti telematiche attraverso postazioni telematiche attraverso postazioni

non vigilatenon vigilate 1.1. ...fornitori di apparecchi terminali utilizzabili ...fornitori di apparecchi terminali utilizzabili

per le comunicazioni telematicheper le comunicazioni telematiche … …2.2. In deroga a quanto previsto al comma 1, In deroga a quanto previsto al comma 1,

possono consentirsi tempi di utilizzazione possono consentirsi tempi di utilizzazione maggiori e comunque non superiori a cinque maggiori e comunque non superiori a cinque anni, nel caso di credenziali di accesso ad anni, nel caso di credenziali di accesso ad uso plurimo utilizzabili esclusivamente dai uso plurimo utilizzabili esclusivamente dai frequentatori di centri di ricerca, università frequentatori di centri di ricerca, università ed altri istituti di istruzione per i terminali ed altri istituti di istruzione per i terminali installati all’interno delle medesime installati all’interno delle medesime strutture.strutture.

Art. 4. Accesso alle reti Art. 4. Accesso alle reti telematiche attraverso tecnologia telematiche attraverso tecnologia

senza filisenza fili1.1. I soggetti che offrono accesso alle reti I soggetti che offrono accesso alle reti

telematiche utilizzando tecnologia telematiche utilizzando tecnologia senza fili in aree messe a disposizione senza fili in aree messe a disposizione del pubblico sono tenuti ad adottare le del pubblico sono tenuti ad adottare le misure fisiche o tecnologiche occorrenti misure fisiche o tecnologiche occorrenti per impedire l’uso di apparecchi per impedire l’uso di apparecchi terminali che non consentono terminali che non consentono l’identificazione dell’utente, ovvero ad l’identificazione dell’utente, ovvero ad utenti che non siano identificati utenti che non siano identificati secondo le modalità di cui all’art. 1.secondo le modalità di cui all’art. 1.

Art. 5. EsclusioniArt. 5. Esclusioni

Perche’ riguarda l’INFNPerche’ riguarda l’INFN ““fornitore di apparecchi terminali fornitore di apparecchi terminali

utilizzabili per le comunicazioni utilizzabili per le comunicazioni telematiche (…) a frequentatori” telematiche (…) a frequentatori” (art. 3)(art. 3)

““soggetto che offre accesso alle reti soggetto che offre accesso alle reti telematiche utilizzando tecnologie telematiche utilizzando tecnologie senza fili in aree messe a senza fili in aree messe a disposizione del pubblico” (art. 4)disposizione del pubblico” (art. 4)

FrequentatoriFrequentatori Coloro Coloro i quali, pur i quali, pur non essendo dipendenti ne’ non essendo dipendenti ne’

associatiassociati, in modo più o meno occasionale hanno , in modo più o meno occasionale hanno accesso alle sedi e ai quali sia consentito l’uso di accesso alle sedi e ai quali sia consentito l’uso di apparecchi terminali per la connessione ad Internet apparecchi terminali per la connessione ad Internet (ad esempio (ad esempio laureandilaureandi, , studentistudenti, , ospitiospiti) )

L’art. 3 richiede che l’INFN metta in atto misure L’art. 3 richiede che l’INFN metta in atto misure idonee a:idonee a:– impedire l’accesso ai terminali a soggetti non previamente impedire l’accesso ai terminali a soggetti non previamente

identificatiidentificati– identificare chi accede mediante acquisizione di dati identificare chi accede mediante acquisizione di dati

anagrafici e copia del documento di identitàanagrafici e copia del documento di identità– informare chi accede delle condizioni d’usoinformare chi accede delle condizioni d’uso– rendere disponibili i dati acquisiti alla polizia postale, rendere disponibili i dati acquisiti alla polizia postale,

giudiziaria o all’Autorità Giudiziaria solo ove queste autorità giudiziaria o all’Autorità Giudiziaria solo ove queste autorità lo richiedanolo richiedano

– assicurare il trattamento e la conservazione dei dati fino al assicurare il trattamento e la conservazione dei dati fino al 31.12.200731.12.2007

WIRELESSWIRELESS il decreto richiede che il decreto richiede che siano identificabili gli utilizzatori siano identificabili gli utilizzatori

delle reti wireless in aree messe a disposizione del delle reti wireless in aree messe a disposizione del pubblicopubblico. In particolare, si dovrà prestare particolare . In particolare, si dovrà prestare particolare attenzione alle reti che si estendono in strade, piazze, attenzione alle reti che si estendono in strade, piazze, giardini pubblici, aree universitarie, e alle reti wireless giardini pubblici, aree universitarie, e alle reti wireless attivate in occasione di convegni, eventi e altre attivate in occasione di convegni, eventi e altre manifestazioni di formazione e promozione scientifica.manifestazioni di formazione e promozione scientifica.

Per questi casi, il Decreto specifica che è necessario:Per questi casi, il Decreto specifica che è necessario:– impedire l’uso di terminali che non consentano l’identificazione impedire l’uso di terminali che non consentano l’identificazione

dell’utentedell’utente– impedire l’uso ad utenti che non siano preventivamente impedire l’uso ad utenti che non siano preventivamente

identificati.identificati. Anche per l’INFN risulta quindi necessario identificare i Anche per l’INFN risulta quindi necessario identificare i

soggetti ai quali è consentito l’accesso wireless alla rete; soggetti ai quali è consentito l’accesso wireless alla rete; tale identificazione deve avvenire mediante acquisizione tale identificazione deve avvenire mediante acquisizione dei dati anagrafici riportati su un documento di identità e dei dati anagrafici riportati su un documento di identità e riproduzione del documento. riproduzione del documento.

Non è previsto invece il monitoraggio delle attività.Non è previsto invece il monitoraggio delle attività.

Attivita’ del Servizio di Attivita’ del Servizio di CalcoloCalcolo

impostazione di misure di impostazione di misure di identificazione attivate sugli Access identificazione attivate sugli Access Point e sui server di autenticazionePoint e sui server di autenticazione

attivazione del logging e conservazione attivazione del logging e conservazione dei log di accesso fino al 31.12.2007dei log di accesso fino al 31.12.2007

organizzazione del flusso documentale organizzazione del flusso documentale e impostazione del DB dei dati e impostazione del DB dei dati anagraficianagrafici

FrequentatoriFrequentatori Identificazione dei frequentatoriIdentificazione dei frequentatori

– Attuali utenti non dipendenti ne’ associatiAttuali utenti non dipendenti ne’ associati– Modalita’ di identificazione di eventuali utenti remotiModalita’ di identificazione di eventuali utenti remoti– Nuovi utentiNuovi utenti

Raccolta e conservazione dei dati identificativiRaccolta e conservazione dei dati identificativi– nome, cognome, data e luogo di nascitanome, cognome, data e luogo di nascita

(i dati presenti sul documento di identità)(i dati presenti sul documento di identità)– estremi del documento di identitàestremi del documento di identità– documento di identità (digitalizzato)documento di identità (digitalizzato)– data di attivazionedata di attivazione

Consegna dell’Consegna dell’informativainformativa privacyprivacy (Ita/Eng) (Ita/Eng)

Collaborazione del Servizio DirezioneCollaborazione del Servizio Direzione

Flusso di lavoroFlusso di lavoroFrequentatori vecchi e nuovi, riunioni, meeting Frequentatori vecchi e nuovi, riunioni, meeting

ecc.ecc. L'ospite fornisce i dati all'ufficio L'ospite fornisce i dati all'ufficio DirezioneDirezione;; Nel caso di Nel caso di gruppi di ospitigruppi di ospiti si richiede la si richiede la

collaborazione del referente/organizzatore collaborazione del referente/organizzatore della riunionedella riunione

l'ufficio Direzione inserisce i dati nel database, l'ufficio Direzione inserisce i dati nel database, consegna alla persona l’Informativa Privacy consegna alla persona l’Informativa Privacy (puo’ chiedere una firma per la consegna) e (puo’ chiedere una firma per la consegna) e segnala la registrazione al segnala la registrazione al Servizio CalcoloServizio Calcolo;;

il Servizio Calcolo provvede alla concessione il Servizio Calcolo provvede alla concessione delle credenziali di accesso (es. username, delle credenziali di accesso (es. username, numero IP, accesso wireless).numero IP, accesso wireless).

Rete Wireless per Rete Wireless per Meeting, riunioni e conferenzeMeeting, riunioni e conferenze

E’ indispensabile la collaborazione di chi organizza E’ indispensabile la collaborazione di chi organizza la Riunione o Conferenzala Riunione o Conferenza

Si suggerisce di informare preventivamente i Si suggerisce di informare preventivamente i partecipanti e raccogliere in anticipo i dati partecipanti e raccogliere in anticipo i dati anagrafici, ove possibileanagrafici, ove possibile

Se e’ previsto un sito/pagina web per la Se e’ previsto un sito/pagina web per la Conferenza suggeriamo di mettere online l’avviso Conferenza suggeriamo di mettere online l’avviso riguardante la raccolta dati anagrafici e riguardante la raccolta dati anagrafici e l’informativa privacyl’informativa privacy

Il CCL potra’ fornire mezzi “mobili” per la raccolta Il CCL potra’ fornire mezzi “mobili” per la raccolta dei dati anagraficidei dati anagrafici

Collaborano con il Servizio Calcolo e la Direzione Collaborano con il Servizio Calcolo e la Direzione per la regolarizzazione dei “vecchi” frequentatoriper la regolarizzazione dei “vecchi” frequentatori

Evitano ove possibile l’uso di account generici e di Evitano ove possibile l’uso di account generici e di gruppo, o provvedono a garantire l’identificazione gruppo, o provvedono a garantire l’identificazione di chi li utilizza per accedere alla retedi chi li utilizza per accedere alla rete

Evitano di concedere account sui server che Evitano di concedere account sui server che gestiscono senza l’accordo con il Serviziogestiscono senza l’accordo con il Servizio

Evitano di installare Access Point wirelessEvitano di installare Access Point wireless Organizzano per tempo il servizio di identificazione Organizzano per tempo il servizio di identificazione

degli ospiti degli ospiti

Referenti, Gruppi, ServiziReferenti, Gruppi, Servizi