Bez względu na ostateczny kształt rozporządzenia, zagadnienie retencjonowania uzależnione jest od realizującego te procesy oprogramowania. System retencji będzie gromadził ogromne ilości danych, które muszą być bezpiecznie składowane, zabezpieczone przed nieautoryzowanym dostępem oraz dostępne w stosunkowo krótkim czasie. Zbieranie danych z różnych urządzeń sieciowych wymaga zaimplementowania wielu interfejsów, poprzez które system będzie pobierał informacje z urządzeń sieciowych w trybie online, jak i offline, wykorzystując przetwarzanie wsadowe. W celu spełnienia powyższych wymagań, konieczne jest stosowanie wydajnych baz danych oraz specjalistycznych rozwiązań w zakresie składowania danych. Nie wszystkie podmioty posiadają systemy zdolne do dokonywania tak złożonych operacji.

Szczególnie skomplikowane są zagadnienia związane z selekcjonowaniem danych podlegających obowiązkowi retencji. Biorąc za przykład m.in. sprawę komunikatorów internetowych, problemem staje się kwestia stwierdzenia, czy dana aplikacja generująca ruch w sieci jest komunikatorem. Kolejne lata przynoszą coraz to nowe aplikacje wpisujące się w tę grupę. Decyzja o uznaniu aplikacji za komunikator na podstawie wykorzystywanych przez nią portów komunikacyjnych nie wydaje się dobrym pomysłem. Aby jednoznacznie stwierdzić, że dany ruch jest formą komunikacji, podlegającą obowiązkowi retencji, należałoby zinterpretować treść takiej wymiany, a jest to działanie prawnie zakazane. Tak więc operatorzy będą mieli do czynienia z ogromną ilością danych, których, de facto, nie będą w stanie jednoznacznie zinterpretować.

Właściwe kryteria

W przypadku usług VoIP oraz e-mail należy mieć na uwadze, iż tylko operator konkretnej usługi może stwierdzić, iż to właśnie ta usługa została uruchomiona. Przykładem może być dostęp przez stronę WWW do skrzynki pocztowej i wysłanie wiadomości. Dla operatora infrastrukturalnego oznacza to jedynie tyle, co odwołanie się jednego z jego klientów do danego serwera za pomocą protokołu HTTP/HTTPS.

Komunikatory peer-to-peer, to kolejny przykład utrudnień w selekcji odpowiednich danych. Na dodatek, na rynku istnieją darmowe narzędzia umożliwiające realizowanie telefonii internetowej bez udziału jakiegokolwiek operatora. Kwestią wymagającą doprecyzowania jest również obowiązek retencji w sytuacji dostępu BSA (Bitstream Access). W takim przypadku usługa jest świadczona przez operatora alternatywnego na rzecz jego klientów, przy wykorzystaniu infrastruktury sieciowej innego operatora, najczęściej dominującego na danym rynku. Ustawodawca winien jednoznacznie określić, który z operatorów ma dokonywać retencji. Odrębną sprawą jest ustalenie jednoznacznych kryteriów określających podmioty, na których będzie ciążył ten obowiązek. Zbyt ogólnikowe zapisy obowiązującej ustawy budzą niepokój także wśród operatorów sieci bezprzewodowych znajdujących się w centrach handlowych, hotelach czy restauracjach.

Jeśli chodzi o zakres podmiotów zobowiązanych do retencji, najbardziej restrykcyjne zapisy zawarte są w belgijskiej transpozycji ustawy. W owym dokumencie nałożono obowiązek nie tylko na operatorów sieci publicznych, ale także prywatnych, wliczając w to nawet firmowe intranety. Przyjęta w belgijskim akcie definicja dostawców usług telekomunikacyjnych obejmuje dostawców aplikacji oraz usług internetowych (dostawcy dostępu, ale także wyszukiwarek, portali i list dyskusyjnych) oraz podmioty świadczące usługi o wartości dodanej, w tym bankowości elektronicznej; nie pomija się również właścicieli kafejek internetowych. Choć w Polsce, zapewne, nie będziemy mieli do czynienia z taką sytuacją, to jednak w przypadku braku jednoznacznych informacji rodzi się niepewność.

Kwestie bezpieczeństwa

Bez względu na ostateczny kształt przepisów wykonawczych pewne jest, że ilość gromadzonych danych przez zobowiązane do tego podmioty wzrośnie dramatycznie. Pociąga to za sobą nie tylko konieczność rozbudowy infrastruktury i wzrost obciążenia już istniejącej, ale także komplikuje sprawy związane z bezpieczeństwem. Więcej danych, to więcej możliwości ich wycieku, w szczególności, jeśli dotyczą one takich kwestii jak np. historia odwiedzin poszczególnych witryn. W Stanach Zjednoczonych, gdzie również istnieje obowiązek retencji danych, wykryto proceder sprzedawania przez dostawców Internetu tzw. historii kliknięć (ang. click stream) poszczególnych klientów. Popyt na tego typu dane będzie zawsze istniał, gdyż dla wielu firm są one bardzo cenne - to ogromne bazy danych, które nieco przetworzone z powodzeniem mogą zostać sprzedane jako statystyki.

W kontekście bezpieczeństwa najważniejszym czynnikiem jest czynnik ludzki. Nie pomogą zaawansowane mechanizmy kontroli dostępu, jeżeli zawiodą ludzie. Przyrost liczby składowanych danych będzie oznaczał wzrost liczby ludzi mających do nich dostęp. W przypadku, kiedy ustawa doprecyzuje kwestie związane z możliwością outsourcingu tej funkcji w przedsiębiorstwach, liczba personelu mającego do nich dostęp również się powiększy.