Negli ultimi giorni sono giunti diversi stimoli da parte dell’Autorità Garante per la protezione dei dati personali, tutti in relazione ai tempi e alle modalità con cui i dati di traffico telematico e telefonico sono gestiti nel nostro Paese. Lo scorso mese – pochi giorni l’invio di una lettera al Presidente della Camera e al ministro delle Politiche comunitarie in merito al tardivo recepimento della direttiva Frattini (che prevede termini inferiori a quelli attualmente vigenti) – l’autorità ha emanato un nuovo provvedimento generale recante misure e accorgimenti a garanzia degli utenti in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati. Il provvedimento fa seguito a una consultazione pubblica iniziata lo scorso settembre e giunge appena pochi giorni la notizia che la stessa Autorità, a seguito di attività ispettive avviate nel corso dello scorso anno, ha imposto a Telecom, Vodafone e H3G la cancellazione di informazioni illegittimamente conservate riguardanti i siti Internet visitati dagli utenti.
Come si legge dal comunicato stampa diramato dall’Autorità, i provvedimenti contro i gestori telefonici «affermano un principio innovativo e importante: va tutelata la riservatezza anche della navigazione in Internet e dell’uso dei motori di ricerca. I gestori telefonici non possono dunque conservare questi dati, nemmeno per ragioni di giustizia. Entro due mesi queste informazioni dovranno ora scomparire. Viene in questo modo riaffermata l’estrema delicatezza delle visite e delle ricerche in Internet». Forse non è ancora il caso di parlare di “emergenza privacy”, ma suscita perplessità il fatto che i gestori telefonici indicati abbiano trattenuto, almeno fino all’ispezione del Garante, dati capaci di profilare gran parte dell’attività dei loro utenti su Internet.
Dovremmo chiederci perché il Garante sollecita il recepimento della direttiva Frattini e ritiene “urgente” la riduzione dei tempi di conservazione dei dati di traffico telefonico e internet nel nostro ordinamento. E ancora di più perché, in questo momento storico, il Garante ha ritenuto di dover emanare nuove norme a tutela degli utenti in materia di conservazione del traffico telefonico e telematico, con un provvedimento complesso che ribadisce, prima di individuare le misure di sicurezza in materia di conservazione del traffico, che l’esigenza sorge anche in relazione a “constatati gravi e diffusi fatti di utilizzazione illecita di dati”. Facciamo il punto della situazione per comprendere la portata degli ultimi interventi.
Traffico telematico e traffico telefonico
La questione della conservazione dei dati di traffico telefonico e telematico è da tempo oggetto diinterventi legislativi nazionali e comunitari. Il motivo consiste nell’importanza fondamentale che tali dati assumono per lo svolgimento di indagini giudiziarie e, al tempo stesso, al fatto che contengono elementi capaci di rivelare informazioni sulla personalità o attitudine di un individuo. La disciplina attuale in materia di conservazione dei dati di traffico delle comunicazioni telefoniche e telematiche è infatti la risultante del bilanciamento di due opposti interessi: quello pubblico alla repressione dei reati e quello individuale alla riservatezza. La sicurezza della conservazione di tali dati diventa un obbligo a cui è fondamentale adempiere: essa è necessaria per il buon esito delle indagini così come per la tutela della sfera personale dei soggetti coinvolti nelle comunicazioni.
Per capire la portata del nuovo provvedimento generale emanato dal Garante, è necessario premettere che nel Codice in materia di protezione dei dati personali, all’art. 123, viene innanzitutto stabilito un divieto generale di conservazione di dati relativi al traffico telefonico e telematico, al quale fanno seguito due eccezioni. Il «trattamento» di tali dati è «consentito», infatti, per esigenze di fatturazione dell’abbonato o di commercializzazione consensuale di servizi; la «conservazione» dei dati è invece «prescritta», e quindi obbligatoria, per finalità di accertamento e repressione dei reati (art. 132 del Codice).
All’epoca dell’emanazione del Codice, l’art. 132 limitava l’obbligo di conservazione ai soli dati di traffico telefonico: è con il decreto legge 144 del 27 luglio 2005 convertito in legge con modificazioni il 31 luglio 2005 (L. 155/05, il cosiddetto Pacchetto Pisanu) che vengono inserite misure di conservazione dei dati di traffico telematico. Le misure che portano il nome del ministro degli Interni dell’ultimo governo Berlusconi hanno escluso che nel concetto di traffico telematico venisse compreso il contenuto delle comunicazioni e ha limitato la conservazione alle sole informazioni che consentono la tracciabilità degli accessi (art. 6) e stabilito un termine di conservazione di 6 mesi, prolungato di altri 6 mesi per i casi di delitti più gravi, mentre per i dati relativi al traffico telefonico i termini sono di 24 mesi prolungati ad altri 24 mesi per i delitti di cui all’articolo 407, comma 2, lettera a del Codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.
Tali termini, però, sono stati sospesi dalla stessa legge fino al 31 dicembre 2007 in ragione delle esigenze di contrasto al terrorismo internazionale. Attualmente, l’art. 34 del decreto-legge 31 dicembre 2007, n. 248 (c.d. “milleproroghe”) ha esteso la sospensione di tali termini fino al 31 dicembre 2008. I dati, comunque, possono essere acquisiti in un procedimento penale anche oltre i termini sopra indicati se il giudice ritiene sussistano «sufficienti indizi» per i delitti di cui al già citato articolo 407, comma 2, lettera a del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici. Come viene evidenziato nel comunicato del Garante che accompagna il provvedimento generale: «I dati di traffico telefonico e Internet, che comunque non riguardano il contenuto, sono particolarmente delicati: numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante nel caso del cellulare, dati inerenti agli sms o mms, indirizzi e-mail contattati, data, ora e durata degli accessi alla rete consentono di ricostruire tutte le relazioni di una persona e le sue abitudini. É bene ricordare, peraltro, che in Italia, dopo la recente proroga di fine anno del cosiddetto “pacchetto Pisanu”, il periodo di conservazione di questi dati a fini di giustizia toccherà gli 8 anni per il traffico telefonico e quasi4 per quello telematico».
Il problema del prolungamento dei termini non è importante soltanto per i diritti fondamentali a cui deroga, ma anche per l’armonizzazione della disciplina in materia di data retention nel territorio comunitario. Il 15 gennaio, due giorni prima dell’emanazione del provvedimento che aumenta le misure di sicurezza per la conservazione di tali dati, il Garante ha sollecitato il recepimento della direttiva 2006/24 CE, la cosiddetta direttiva Frattini, i cui termini scadevano il 15 settembre 2007. Questa direttiva contiene due elementi cruciali: tempi minori di conservazione dei dati e una definizione uniforme a livello comunitario di che cosa debba essere ritenuto un dato di traffico telefonico e un dato di traffico telematico. Il Garante, nel definire l’ambito oggettivo e soggettivo di applicazione del provvedimento generale, ha fatto proprie le definizioni della direttiva. Vediamole.
L’ambito di applicazione del provvedimento generale
Per fornitore, e cioè i soggetti tenuti al rispetto del provvedimento generale, deve intendersi chi «mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione»; per servizi di comunicazione elettronica devono intendersi quelli consistenti, esclusivamente o prevalentemente, «nella trasmissione di segnali su reti di comunicazioni elettroniche» (art. 4, comma 2, lett. d ed e del Codice). Dalla definizione vanno esclusi: i soggetti che offrono tali servizi a gruppi limitati di persone; i soggetti che offrendo tali servizi non generano o trattano direttamente i relativi dati di traffico; i titolari di esercizi pubblici che mettono a disposizioni terminali o connessione wireless come gli hot spot; i content provider e i motori di ricerca. La conservazione dei dati che tracciano i contenuti della comunicazione, come infatti accade nel caso di content provider e motori di ricerca, non è quindi legittima, ai sensi del provvedimento, neppure per finalità di giustizia.
Quali dati di traffico debbono essere conservati, allora? In via generale, come si legge nel provvedimento, «l’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni (art. 132 del Codice). In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione (art. 4, comma 2, lettera h, del Codice». In via particolare, invece, il provvedimento riprende le esemplificazioni fatte dalla direttiva e specifica che nell’ambito dei servizi telefonici da conservare vanno compresi: le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax; servizi supplementari, inclusi l’inoltro e il trasferimento di chiamata; la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve-sms.Nel traffico telematico, invece, l’accesso alla rete Internet, la posta elettronica, fax (e sms e mms) inviati via Internet, la telefonia via Internet (VoIP).
Tali dati possono essere utilizzati (entro i limiti temporali che abbiamo evidenziato in precedenza) solo per indagini penali. I fornitori non possono comunicare tali dati per controversie di tipo civile o amministrativo e non possono comunicarli nemmeno all’utente interessato, il quale può avervi accesso solo per esigenze difensive nel caso in cui si trovi coinvolto in un procedimento penale.
Le modalità di conservazione
Le misure di sicurezza prescritte per la tutela dei dati di traffico sono ingenti. I dati tenuti per finalità di fatturazione e marketing devono essere separati da quelli archiviati per finalità di giustizia e l’accesso, in ogni caso possibile solo a personale incaricato, deve essere soggetto a autenticazione biometrica (perlomeno per l’accesso ai dati conservati per finalità di giustizia). Ogni accesso ai dati compiuto da incaricati o amministratori di sistema (sul cui ruolo il Garante emanerà ulteriori prescrizioni) dovrà essere documentato in un apposito audit-log. Per evitare accessi indebiti, inoltre, i fornitori dovranno disporre di adeguati sistemi di cifratura e, trascorsi i termini, i dati devono essere cancellati anche dalle copie di back up. Come si vede, il provvedimento è effettivamente un tentativo di fare chiarezza nella disciplina della data retention e cerca di mitigare la compressione del diritto alla riservatezza effettuata dalle esigenze di repressione dei reati anche se alcune zone d’ombra rimangono.
Pensiamo ad esempio a come debbono essere inquadrati i termini di conservazione: non si tratta solo di un limite al potere di conservazione dei dati da parte dei gestori, ma anche di un limite per le procure all’acquisizione dei dati. Nell’ipotesi in cui si proceda per un reato comune i dati possono essere acquisiti entro 6 mesi, nei casi dei reati più gravi entro 24 mesi. Vuol dire che il gestore non è tenuto a conferire tali dati nel caso in cui vengano richiesti oltre i sei mesi e per reati diversi da quelli qualificati come “gravi”, anche se ne ha disponibilità.
Altre questioni, invece, possono sorgere a seconda delle modalità di trasmissione della comunicazione: pensiamo ad esempio a un sms inviato via Internet e ricevuto tramite telefonia: lo stesso contenuto è destinato ad avere due diverse discipline: quella per il traffico telematico per il fornitore dell’inviante e quella del traffico telefonico per il fornitore del ricevente. Ci si chiede, inoltre, come i fornitori coinvolti affronteranno le spese di conservazione dei dati e le nuove prescrizioni, ciò anche in considerazione del fatto che i termini per l’effettiva entrata in vigore di termini più brevi di conservazione del traffico dati sembrano spostarsi sempre di più. Non resta che affidarsi all’attività di controllo del Garante e seguire gli ulteriori sviluppi.