Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Protezione dei dati personali

Data retention: che cosa prevede la direttiva europea

di Gloria Marcoccio* – 17.09.07

 

Articolo precedente: Data retention, la "Pisanu" dovrà fare i conti con l'Europa

Il 15 settembre scorso è scaduto il termine entro il quale l'Italia dovrebbe attuare le disposizioni della  dalla europea 2006/24, "riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione". Al momento della chiusa redazionale di questo numero, il 14 settembre, non si hanno ancora notizie del decreto legislativo di recepimento, previsto dalla legge comunitaria 2006. Proseguiamo quindi l'analisi della direttiva, in attesa di commentare le nuove disposizioni italiane.

In vista del prossimo recepimento in Italia della direttiva 2006/24/CE sulla conservazione dei dati dei servizi di comunicazione (nel seguito indicata come "direttiva"), questo secondo articolo ne illustra gli aspetti di maggior interesse da un punto di vista operativo, mettendoli in relazione con quanto attualmente in vigore con la vigente normativa in Italia sulla data retention (decreto-legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale, convertito in legge con le modificazioni riportate nella legge 31 luglio 2005, n. 155, che per la conservazione dei dati ha apportato modifiche al DLGV 196/03 “Codice in materia di protezione dati personali").
L’interesse riguardo gli aspetti operativi si concretizza nel ”leggere” una normativa in termini di ruoli coinvolti, responsabilità e compiti assegnati ad essi, oggetti dei compiti e condizioni al contorno. Questo approccio di lettura tende a favorire una veloce e maggior comprensione dei disposti, a far raggiungere una sufficiente consapevolezza riguardo le responsabilità in gioco e gli oneri, di varia natura, che i ruoli sono chiamati a sostenere. Non deve sembrare questo un approccio semplicistico o superficiale: la semplicità e la chiarezza sono esigenze di noi tutti visti come destinatari delle normative, a maggior ragione quando è richiesto di fornire contributi a costi ben diversi da zero come è appunto il caso della conservazione dei dati (almeno per gli operatori pubblici di telecomunicazioni e provider di servizi internet).
Chiarezza semplicità e tracciabilità sono caratteristiche fondamentali di ogni buona norma, ed a tal proposito il Considerando 24 della stessa direttiva espressamente richiama il punto 34 dell’accordo interistituzionale «Legiferare meglio» (Oj C 321, 31.12.2003, p. 1) con il quale “ gli Stati membri sono incoraggiati a redigere e rendere pubblici, nell’interesse proprio e della Comunità, prospetti indicanti, per quanto possibile, la concordanza tra le direttive e i provvedimenti di recepimento”.

Procediamo allora con la nostra lettura della direttiva in termini di aspetti operativi e osservando il requisito di tracciabilità allo scopo di mettere in relazione i disposti presenti in essa con quelli della legge italiana attuale: questo fornirà una possibile guida per analizzare il futuro recepimento della direttiva in Italia.

Un primo quadro di interesse è fornito da i ruoli e le relazioni esistenti tra essi:

Enti che attuano data retention

Direttiva: art. 1 comma 1 ed art. 3 comma 1
Gli obblighi riguardano i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, con riferimento ai dati generati o trattati nel quadro della fornitura dei servizi di comunicazione interessati, nell’ambito della giurisdizione del singolo Paese membro

Attuale legge in Italia:DLGV 196/03 art. 121. comma 1
Le disposizioni del Titolo X - Capo I del Codice (art. 121-132) si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni. Pertanto i fornitori di tali servizi sono destinatari delle obbligazioni.

Destinatari dei dati

Direttiva: art. 4 comma 1
Gli Stati membri sono chiamati ad adottare misure per garantire che i dati conservati ai sensi della direttiva siano trasmessi solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali.

Attuale legge in Italia:
DLGV 196/03 art. 132 comma 3
Per finalità di accertamento e repressione dei reati, sono destinatari dei dati:
- il pubblico ministero, anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private
- Il difensore dell'imputato o della persona sottoposta alle indagini
DLGV 196/03 art. 132 comma 4
Per esclusive finalità di accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici, è destinatario dei dati:
- Il giudice

Procedure di scambio

Direttiva: art. 4 comma 1 (già indicato sopra)

Attuale legge in Italia:
DLGV 196/03 art. 132. comma 3
Per finalità di accertamento e repressione dei reati, i dati sono acquisiti presso il fornitore (entro i termini di legge) con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all'articolo, comma 2, lettera f), per il traffico entrante.

DLGV 196/03 art. 132. comma 4
Il giudice autorizza l'acquisizione dei dati, con decreto motivato, se ritiene che sussistano sufficienti indizi dei delitti di cui all'articolo 407, comma 2, lettera a), del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici, questo dopo la scadenza del termine indicato per la finalità precedente

DLGV 196/03 art. 132. comma 4-bis
Nei casi di urgenza, quando vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati relativi al traffico telefonico con decreto motivato che è comunicato immediatamente, e comunque non oltre ventiquattro ore, al giudice competente per il rilascio dell'autorizzazione in via ordinaria. Il giudice, entro quarantotto ore dal provvedimento, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati.

Interessati e relazioni con i medesimi

Direttiva: art. 1 comma 2 ed art.2
Non esistono specifici riferimenti agli Interessati ed alle relazioni con questi, se non indirettamente nel rimando alle definizioni delle direttive sulla privacy e le comunicazioni elettroniche (95/46/ CE, 2002/21CE e 2002/58/CE). Sono ovviamente Interessati gli Abbonati e gli Utenti dei servizi di comunicazioni elettroniche, cosi definiti all’art. 2. Da notare nell’art. 1 comma 2 l’estensione alle persone giuridiche come persone che in qualità di abbonati o utenti di un servizio di comunicazioni elettroniche hanno i loro dati conservati ai fini della data retention. Tale estensione è già presente nella normativa italiana.

Attuale legge Italiana
Anche in questo caso non esistono specifici riferimenti oltre a quelli ovvi tramite le definizioni nel DLGV 196/03 art. 4. A parte le banali lacune “logiche” che saltano all’ evidenza, non si può non notare che siamo in presenza di una notevole e critica elaborazione di dati personali, già riconosciuta come trattamento con specifici rischi (art. 132 comma 5) e per la quale l’Interessato non ha diritto neanche ad un po’ di Informativa (art. 13)….

Autorità di controllo

Direttiva: art. 9 comma 1
Ogni Stato membro designa una o più autorità pubbliche quali responsabili del controllo dell’applicazione sul suo territorio delle disposizioni adottate dagli Stati membri in conformità dell’articolo 7 per quanto concerne la sicurezza dei dati conservati. Dette autorità possono essere le stesse autorità di cui all’articolo 28 della direttiva 95/46/CE.

Attuale legge in Italia DLGV 196/03 art. 153-160
L’Autorità di controllo è quella istituita per la protezione dati personali e privacy


Ambito di giurisdizione del Paese UE

Direttiva: art.1 comma 1 e art.3 comma 1
Attuale legge in Italia DLGV 196/03 art. 5
Sarà interessante vedere come sarà recepito l’ Ambito di applicazione, con particolare riferimento alla giurisdizione. Ad oggi i requisiti italiani sulla data retention, sono applicabili ai soggetti ai quali fa riferimento il DLGV 196/03 (art. 5. Oggetto ed ambito di applicazione ).L’interesse è dovuto al fatto che i servizi oggetto dei requisiti sono per loro natura transnazionali e gli operatori coinvolti svolgono le loro attività anche da altri paesi ovunque nel mondo. Prendiamo come esempio SKYPE, realtà importante nel settore della telefonia via computer, che sfrutta in modo efficace il peer to peer. Come sarà applicabile ad una simile realtà la data retention italiana (…e come lo è ad oggi la legge Pisanu?).


Il secondo quadro di interesse è rappresentato dall’insieme dei compiti direttamente a carico degli Enti che sono chiamati ad attuare la data retention.

Periodo di conservazione
Questo argomento è stato già affrontato nel precedente articolo.

Protezione e sicurezza dei dati

direttiva: art.7
“Fatte salve le disposizioni adottate in conformità della direttiva 95/46/CE e della direttiva 2002/58/CE, ogni Stato membro provvede a che i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione rispettino, come minimo, i seguenti principi di sicurezza dei dati per quanto concerne i dati conservati in conformità della presente direttiva:
a) i dati conservati sono della stessa qualità e sono soggetti alla stessa sicurezza e tutela dei dati in rete;
b) i dati sono soggetti ad adeguate misure tecniche e organizzative intese a tutelarli da una distruzione accidentale o illecita, da unalterazione o perdita accidentale, da immagazzinamento, trattamento, accesso o divulgazione non autorizzati o illeciti;
c) i dati sono soggetti ad adeguate misure tecniche e organizzative intese a garantire che gli stessi possono essere consultati soltanto da persone appositamente autorizzate; e
d) i dati vengono distrutti alla fine del periodo di conservazione, fatta eccezione per quelli consultati e conservati.”

Attuale legge in Italia DLGV 196/03:
Per il recepimento della direttiva 95/46/CE e della direttiva 2002/58/CE, i requisiti essenziali relativi alla protezione e sicurezza sono espressi, rispettivamente, agli articoli del Titolo V - Sicurezza dei dati e dei sistemi ed Allegato B, ed agli articoli del Titolo X - Comunicazioni elettroniche.
Il riferimento diretto per l’art. 7 della direttiva è attualmente nell’art. 132 comma 5, che prevede, nel rispetto delle misure e degli accorgimenti prescritti ai sensi dell’articolo 17 (Trattamento che presenta rischi specifici): specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento di cui all'allegato B), la disciplina delle modalità di conservazione separate dei dati una volta decorso il termine di conservazione, l’individuazione delle modalità di trattamento dei dati da parte di specifici incaricati del trattamento in modo tale che, decorso il termine di conservazione l'utilizzazione dei dati sia consentita solo nei casi previsti dalla legge (commi 4 e 7 del medesimo articolo), indicazione delle modalità tecniche per la periodica distruzione dei dati, decorsi i termini di conservazione.
Nella sostanza la attuale norma sembra corrispondere a quanto indicato nella direttiva, almeno per l’aspetto formale, mentre il punto d) dell’art. 7 della direttiva evidenzia un nuovo requisito che sarà interessante vedere come sarà interpretato nel prossimo recepimento in Italia: il riferimento più immediato è a quei dati, conservati secondo le regole della data retention, che sono stati richiesti per casi specifici dalle autorità competenti (i Destinatari dei dati nel nostro modello di lettura).

Condizioni di immagazzinamento dei dati conservati

direttiva: art. 8
Gli Stati membri provvedono affinché i dati di cui all’articolo 5 siano conservati conformemente alla presente direttiva in modo che i dati conservati e ogni altra informazione necessaria ad essi collegata possano essere trasmessi immediatamente alle autorità competenti su loro richiesta.

Attuale legge in Italia DLGV 196/03:
Attualmente il requisito non ha dirette corrispondenze nella normativa italiana di riferimento. Sarà interessante vedere come il prossimo recepimento italiano identificherà le “informazioni necessarie e collegate” ai dati conservati che saranno anch’esse oggetto di trasmissione alle autorità competenti: ciò ha impatto su quanto gli Enti che attuano data retention dovranno approntare e porre in esercizio, anche per soddisfare il requisito temporale (quel “immediatamente”, che invece nella versione inglese della direttiva è un “without undue delay”, sicuramente più significativo oltre che oggettivamente quantificabile e fisicamente realizzabile…).

Il terzo ed ultimo quadro di interesse riguarda le categorie dei dati oggetto della data retention.


Direttiva: art. 5.
La direttiva in questa caso fornisce una specifica sufficientemente dettagliata dei dati per i quali è richiesta la conservazione, qui di seguito schematizzata:

Dati di traffico (dati di ubicazione esclusi)

Dati necessari per:

Telefonia di rete fissa

Telefonia mobile

Accesso Internet

Posta elettronica su Internet

Telefonia via Internet

a) rintracciare e identificare la fonte di una comunicazione

i) numero telefonico chiamante;

ii) nome e indirizzo dell’abbonato o dell’utente registrato;

 

i) identificativo/i dell’utente;
ii) identificativo dell’utente e numero telefonico assegnati a ogni comunicazione sulla rete telefonica pubblica;
iii) nome e indirizzo dell’abbonato o dell’utente registrato a cui al momento della comunicazione sono stati assegnati l’indirizzo di protocollo Internet (IP), un identificativo di utente o un numero telefonico;

b) rintracciare e identificare la destinazione di una comunicazione:

i) numero/i digitato/i (il numero o i numeri chiamati) e, nei casi che comportano servizi supplementari come l’inoltro o il trasferimento di chiamata, il numero o i numeri a cui la chiamata è trasmessa;
ii) nome/i e indirizzo/i dell’abbonato/i o dell’utente/i registrato/i;

 

i) identificativo dell’utente o numero telefonico del/dei presunto/i destinatario/i di una chiamata telefonica via Internet;
ii) nome/i e indirizzo/i dell’abbonato/i o dell’utente/i registrato/i e identificativo del presunto destinatario della comunicazione;

c) determinare la data, l’ora e la durata di una comunicazione

data e ora dell’inizio e della fine della comunicazione

i) data e ora del log-in e del log-off del servizio di accesso Internet sulla base di un determinato fuso orario, unitamente all’indirizzo IP, dinamico o statico, assegnato dal fornitore di accesso Internet a una comunicazione e l’identificativo dell’abbonato o dell’utente registrato;
ii) data e ora del log-in e del log-off del servizio di posta elettronica su Internet o del servizio di telefonia via Internet sulla base di un determinato fuso orario;

d) determinare il tipo di comunicazione:

il servizio telefonico utilizzato

 

il servizio Internet utilizzato

e) determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature

Numeri telefonici chiamanti e chiamati

i) numeri telefonici chiamanti e chiamati;
ii) International Mobile Subscriber Identity (IMSI) del chiamante;
iii) International Mobile Equipment Identity (IMEI) del chiamante;
iv) l’IMSI del chiamato;
v) l’IMEI del chiamato;
vi) nel caso dei servizi prepagati anonimi, la data e l’ora dell’attivazione iniziale della carta e l’etichetta di ubicazione (Cell ID) dalla quale è stata effettuata l’attivazione;

i) numero telefonico chiamante per l’accesso commutato (dial-up access);
ii) digital subscriber line (DSL) o un altro identificatore finale di chi è all’origine della comunicazione;

Dati relativi all'ubicazione

f) i dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile:
1) etichetta di ubicazione (Cell ID) all’inizio della comunicazione;
2) dati per identificare l’ubicazione geografica delle cellule facendo riferimento alle loro etichette di ubicazione (Cell ID) nel periodo in cui vengono conservati i dati sulle comunicazioni.

Attuale legge in Italia (DLGV 196/03):
La normativa italiana in oggetto si riferisce a “dati relativi al traffico” e “dati relativi all’ubicazione”, che sono entrambi definiti ma non specificati all’art. 4 del DLGV 196/03, ed al traffico telematico al quale non è associata una corrispondente definizione o specifica.

Contesto dei dati
Direttiva: art. 3 comma 2 e art. 5 comma 1
La direttiva estende l’obbligo di conservazione ai dati specificati all’articolo 5 relativi ai tentativi di chiamata non riusciti dove tali dati vengono generati o trattati e immagazzinati (per i dati telefonici) oppure trasmessi (per i dati Internet) e non richiede la conservazione dei dati per quanto riguarda le chiamate non collegate.
La direttiva non richiede la conservazione di alcun dato relativo al contenuto delle comunicazioni.

Attuale legge in Italia DLGV 196/03 art. 132 comma 1
La norma in vigore ad oggi richiede la conservazione dei dati relativi al traffico telefonico concernente le chiamate senza risposta, ed esclude i contenuti delle comunicazioni, in modo chiaro per il traffico telematico...

(Continua sul n. 364)
 

* Ingegnere, esperto tecnico-legale ICT - glory @ glory.it

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2005 Informazioni sul copyright