Decreto Pisanu Antiterrorismo

1. Decreto Interministeriale 16 agosto 2005Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, ai sensi dell’articolo 7, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 Decreto Pisanu Antiterrorismo

2. Art. 1. - Obblighi dei titolari e dei gestori • Adozione di misure di sicurezza • Identificazione degli utilizzatori • Conservazione dati per aut. giud. e P.S. fino al 31/12/2007 Art. 2. – Monitoraggio delle attivita’

3. Art. 3. - Accesso alle reti telematiche attraverso postazioni non vigilate • ...fornitori di apparecchi terminali utilizzabili per le comunicazioni telematiche … • In deroga a quanto previsto al comma 1, possono consentirsi tempi di utilizzazione maggiori e comunque non superiori a cinque anni, nel caso di credenziali di accesso ad uso plurimo utilizzabili esclusivamente dai frequentatori di centri di ricerca, università ed altri istituti di istruzione per i terminali installati all’interno delle medesime strutture.

4. Art. 4. Accesso alle reti telematiche attraverso tecnologia senza fili • I soggetti che offrono accesso alle reti telematiche utilizzando tecnologia senza fili in aree messe a disposizione del pubblico sono tenuti ad adottare le misure fisiche o tecnologiche occorrenti per impedire l’uso di apparecchi terminali che non consentono l’identificazione dell’utente, ovvero ad utenti che non siano identificati secondo le modalità di cui all’art. 1. Art. 5. Esclusioni

5. Perche’ riguarda l’INFN • “fornitore di apparecchi terminali utilizzabili per le comunicazioni telematiche (…) a frequentatori” (art. 3) • “soggetto che offre accesso alle reti telematiche utilizzando tecnologie senza fili in aree messe a disposizione del pubblico” (art. 4)

6. Frequentatori • Coloro i quali, pur non essendo dipendenti ne’ associati, in modo più o meno occasionale hanno accesso alle sedi e ai quali sia consentito l’uso di apparecchi terminali per la connessione ad Internet (ad esempio laureandi, studenti, ospiti) • L’art. 3 richiede che l’INFN metta in atto misure idonee a: • impedire l’accesso ai terminali a soggetti non previamente identificati • identificare chi accede mediante acquisizione di dati anagrafici e copia del documento di identità • informare chi accede delle condizioni d’uso • rendere disponibili i dati acquisiti alla polizia postale, giudiziaria o all’Autorità Giudiziaria solo ove queste autorità lo richiedano • assicurare il trattamento e la conservazione dei dati fino al 31.12.2007

7. WIRELESS • il decreto richiede che siano identificabili gli utilizzatori delle reti wireless in aree messe a disposizione del pubblico. In particolare, si dovrà prestare particolare attenzione alle reti che si estendono in strade, piazze, giardini pubblici, aree universitarie, e alle reti wireless attivate in occasione di convegni, eventi e altre manifestazioni di formazione e promozione scientifica. • Per questi casi, il Decreto specifica che è necessario: • impedire l’uso di terminali che non consentano l’identificazione dell’utente • impedire l’uso ad utenti che non siano preventivamente identificati. • Anche per l’INFN risulta quindi necessario identificare i soggetti ai quali è consentito l’accesso wireless alla rete; tale identificazione deve avvenire mediante acquisizione dei dati anagrafici riportati su un documento di identità e riproduzione del documento. • Non è previsto invece il monitoraggio delle attività.

8. Attivita’ del Servizio di Calcolo • impostazione di misure di identificazione attivate sugli Access Point e sui server di autenticazione • attivazione del logging e conservazione dei log di accesso fino al 31.12.2007 • organizzazione del flusso documentale e impostazione del DB dei dati anagrafici

9. Frequentatori • Identificazione dei frequentatori • Attuali utenti non dipendenti ne’ associati • Modalita’ di identificazione di eventuali utenti remoti • Nuovi utenti • Raccolta e conservazione dei dati identificativi • nome, cognome, data e luogo di nascita(i dati presenti sul documento di identità) • estremi del documento di identità • documento di identità (digitalizzato) • data di attivazione • Consegna dell’informativaprivacy (Ita/Eng) Collaborazione del Servizio Direzione

10. Flusso di lavoro Frequentatori vecchi e nuovi, riunioni, meeting ecc. • L'ospite fornisce i dati all'ufficio Direzione; • Nel caso di gruppi di ospiti si richiede la collaborazione del referente/organizzatore della riunione • l'ufficio Direzione inserisce i dati nel database, consegna alla persona l’Informativa Privacy (puo’ chiedere una firma per la consegna) e segnala la registrazione al Servizio Calcolo; • il Servizio Calcolo provvede alla concessione delle credenziali di accesso (es. username, numero IP, accesso wireless).

11. Rete Wireless per Meeting, riunioni e conferenze • E’ indispensabile la collaborazione di chi organizza la Riunione o Conferenza • Si suggerisce di informare preventivamente i partecipanti e raccogliere in anticipo i dati anagrafici, ove possibile • Se e’ previsto un sito/pagina web per la Conferenza suggeriamo di mettere online l’avviso riguardante la raccolta dati anagrafici e l’informativa privacy • Il CCL potra’ fornire mezzi “mobili” per la raccolta dei dati anagrafici

12. Referenti, Gruppi, Servizi • Collaborano con il Servizio Calcolo e la Direzione per la regolarizzazione dei “vecchi” frequentatori • Evitano ove possibile l’uso di account generici e di gruppo, o provvedono a garantire l’identificazione di chi li utilizza per accedere alla rete • Evitano di concedere account sui server che gestiscono senza l’accordo con il Servizio • Evitano di installare Access Point wireless • Organizzano per tempo il servizio di identificazione degli ospiti