Il decreto-legge 354/03 contiene
significative modifiche al DLgs 196/03
"Codice in materia di trattamento di dati personali", del quale viene
integralmente riscritto l'art. 132
(conservazione dei dati di traffico per altre finalità).
La vecchia formulazione della norma stabiliva, laconicamente, che "fermo
restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico
telefonico sono conservati dal fornitore per trenta mesi, per finalità di
accertamento e repressione di reati, secondo le modalità individuate con
decreto del Ministro della giustizia, di concerto con i Ministri dell'interno e
delle comunicazioni, e su conforme parere del Garante". Mentre il nuovo
testo (molto più articolato) si compone di ben sei commi che, essenzialmente,
allungano i tempi di conservazione dei dati di traffico fino a cinque anni,
oltre a definire i criteri soggettivi, tecnici e procedurali per la
conservazione e l'accesso.
Qui ci occupiamo specificamente del nuovo art. 132 comma 1 del DLgs 196/03
secondo cui, "fermo restando quanto previsto dall'articolo 123, comma 2, i
dati relativi al traffico sono conservati dal fornitore per trenta mesi, per
finalità di accertamento e repressione dei reati."
L'identificazione dei dati di traffico rilevanti a norma del
DL 354/03
Dal tenore letterale della norma si capisce che i "dati di
traffico" dei quali è obbligatoria la conservazione sono esclusivamente
quelli finalizzati alla fatturazione. E dunque verrebbero esclusi i log dei
servizi (come http, ftp, mail, news) che si trovano a un livello più alto dello
stack TCP/IP (vedi Decreto legislativo 196/03: l'internet non è una rete).
Si perviene a questa conclusione considerando che il comma 1 dell'art.132 del
DLgs 196/03 richiama espressamente il comma 2 dell'art.123 dello stesso provvedimento, secondo
cui "il trattamento dei dati relativi al traffico strettamente necessari a
fini di fatturazione per l'abbonato, ovvero di pagamenti in caso di
interconnessione, è consentito al fornitore, a fini di documentazione in caso
di contestazione della fattura o per la pretesa del pagamento, per un periodo
non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria
per effetto di una contestazione anche in sede giudiziale."
Però l'art.123 comma II va coordinato con la parte dell'art. 2 della direttiva 2002/58 che, alla
lettera b, definisce dati relativi al traffico "qualsiasi dato sottoposto a
trattamento ai fini della relativa fatturazione". In realtà la norma
definisce il dato di traffico in relazione a due ambiti: quello della
fatturazione, di cui si dice nel testo, e quello della trasmissione di una
comunicazione su una rete di comunicazione elettronica. Che però, in questo
caso, non rileva, in quanto l'art.123 comma 2 del DLgs 196/03 fa esplicito
riferimento ai trattamenti per sole finalità di fatturazione.
Nella normativa attuale non c'è più l'elenco dettagliato dei dati, che era
presente nella direttiva 97/66/CE e nel DLgs
171/98 (abrogati). Ma per capire la norma può avere senso
"resuscitare" l'allegato
alla direttiva 97/66 che individuava i dati il cui trattamento, ai sensi
dell'art. 6, è finalizzato alla fatturazione per l'abbonato ovvero ai
pagamenti tra fornitori di reti in caso di interconnessione, vale a dire:
a) il numero o l'identificazione della stazione dell'abbonato;
b) l'indirizzo dell'abbonato e il tipo di stazione;
c) il numero dell'abbonato chiamato;
d) il numero totale degli scatti da considerare nel periodo di fatturazione;
e) il tipo, l'ora di inizio e la durata delle chiamate effettuate e il volume
dei dati trasmessi;
f) la data della chiamata o dell'utilizzazione del servizio;
g) altre informazioni concernenti i pagamenti.
Ma fra i dati indicati dall'allegato alla direttiva 97/66, l'internet
service provider può conoscere con ragionevole certezza solamente quelli
indicati nelle lettere d), e) ed f), mentre gli altri sono al di fuori del suo
controllo o irrilevanti a fini di fatturazione e quindi non trattati.
Appartiene alla prima categoria (dati fuori dal controllo dell'ISP) il numero
dell'abbonato (lett. a) visto che il servizio di accesso alla rete è di
natura puramente logica e non prevede alcuna fruibilità del servizio basata
sull'associazione univoca del numero chiamante all'abbonato. Dunque, l'ISP
non ha modo di sapere se il CLI utilizzato dal proprio cliente appartenga a
quest'ultimo o a terzi, che ne consentono l'utilizzo. L'unico ad avere il
dato e a trattarlo a fini di fatturazione è l'operatore telefonico.
Anche l'indirizzo dell'abbonato (lett. b) non è sempre disponibile all'ISP,
come nel caso di servizi "alla Dino Sauro". Cioè sostanzialmente
anonimi e basati solo sull'identificazione del numero chiamante (che non
necessariamente coincide con quello del "materiale utente" del
servizio).
Il numero dell'abbonato chiamato (lett. c) e le altre informazioni relative al
pagamento (lett. g)) sono del tutto irrilevanti visto che nel primo caso, il
numero chiamato è sempre quello dell'ISP e nel secondo non è l'ISP che
gestisce la fatturazione diretta.
Ora è chiaro che questo elenco non ha alcun valore precettivo dal punto di
vista giuridico, ma tecnicamente individua in modo preciso quali sono i dati
rilevanti quantomeno per i servizi di accesso e quindi non può essere ignorato.
Un ragionamento analogo può valere per i dati di traffico relativi ai servizi
internet, sempre a condizione che siano soggetti a fatturazione specifica e
differenziata da quella per il mero accesso alla rete). E dunque dovrebbero
essere conservati i dati che identificano l'abbonato, il tipo di servizio
utilizzato (web, posta, ecc.), data e ora della connessione, IP assegnato all'abbonato,
IP raggiunti dall'abbonato, volume di dati generati.
Soggetti e servizi tenuti all'osservanza del provvedimento
Il problema interpretativo più serio, nella definizione di "dato di
traffico trattato a fini di fatturazione" sta nel fatto che la normativa
comunitaria e quella nazionale via via entrata in vigore trattano ancora (magari
"inconsciamente") i servizi di comunicazione elettronica come se
fossero i vecchi "servizi di telecomunicazioni" cioè,
sostanzialmente, fonia e trasmissione dati.
E' quindi evidente che il DL 354/03 e le norme cui si richiama sono
palesemente "ritagliate" sui fornitori di servizi di telefonia e ai
carrier, ma con maggiori difficoltà sono applicabili agli ISP.
Tipicamente, infatti, questi ultimi non sono proprietari dell'infrastruttura
fisica di trasmissione e la utilizzano per fornire servizi che, pur
"appoggiandosi" sul trasporto di dati, hanno una fatturazione
differenziata che prescinde, in molti casi, dalla "registrazione" dell'accesso.
Come nel caso di housing, hosting, posta elettronica, antispam, antivirus ecc.
che, nella misura in cui non sono soggetti a fatturazione basata sul traffico,
non sono vincolati agli obblighi di conservazione.
Per quanto riguarda la connettività la situazione è più articolata.
I servizi flat su linea dedicata non sembrano rientrare nell'ambito di
applicazione dell'art. 132 del DLgs 196/03 perché, non essendo il
corrispettivo rapportato alla durata della connessione o al volume di dati
trasmessi, non è possibile parlare di "dati di traffico" trattati
"a fini di fatturazione".
Analogo discorso vale per i servizi in dial-up tramite rete commutata,
considerato che i dati rilevanti li genera e custodisce l'operatore telefonico
che raccoglie la chiamata e poi fattura direttamente in bolletta (mentre l'ISP
fattura il solo canone per l'utilizzo della propria infrastruttura e del
gateway verso l'internet).
L'obbligo sussiste, invece, per i servizi in dial-up su numerazione 702xx,
nei quali l'ISP percepisce la reverse interconnection e dunque deve
trattare i dati relativi alla durata della connessione per poter regolare i
conti con il carrier. Ma anche in questo caso è necessario effettuare un
distinguo.
Come è noto, con la reverse interconnection il gestore telefonico
"retrocede" all'ISP una percentuale del traffico telefonico generato
da chi si collega a determinati archi di numerazione. Dal punto di vista del
gestore telefonico, è irrilevante se il titolare dell'utenza telefonica
coincida o meno con l'abbonato dell'ISP. Perché conta il fatto che un certo
numero di telefono abbia generato traffico su una certa numerazione, a
prescindere da chi si sia materialmente collegato ai servizi dell'ISP.
Siamo di fronte, quindi, a rapporti giuridici distinti e separati che non
interferiscono fra loro. Il primo intercorre fra gestore telefonico e abbonato
ai servizi di telefonia per l'uso della linea telefonica. Il secondo fra ISP e
abbonato a servizi internet per navigazione, mail e via discorrendo. Il terzo
(al quale sono del tutto estranei sia l'abbonato al gestore, sia quello all'ISP)
riguarda il gestore telefonico e l'ISP per la "spartizione" della
bolletta.
Proviamo ora, in ipotesi, a metterci nella condizione di un ISP che deve
applicare il DL 354/03 e dunque registrare i dati di traffico dei propri
abbonati, cioè di chi ha sottoscritto un contratto con l'ISP in questione.
Se l'abbonato dell'ISP usa la propria linea telefonica, egli è
contemporaneamente abbonato dell'operatore telefonico e dell'ISP. In questo
caso la registrazione dei dati di traffico è a carico di entrambi e non sorgono
particolari problemi.
Se, invece, l'abbonato dell'ISP si serve di una linea altrui (come nel caso
di chi si connetta, usando proprie userID e password, da casa di amici, ad
esempio) la situazione cambia sensibilmente perché i rapporti giuridici si
separano e l'abbonato dell'operatore telefonico è persona diversa da quello
dell'ISP.
In questo scenario, l'operatore telefonico registra i dati relativi alla
chiamata telefonica e addebita gli scatti all'intestatario della linea. Mentre
l'ISP registra il collegamento, relativo ai servizi forniti, effettuato dal
proprio abbonato (riconosciuto tramite userID e password) e il CLI del chiamante
(con il quale non ha alcun rapporto giuridico e che, dunque, non può
considerare "proprio" abbonato"). In pratica,
"abbonato" ai sensi del DL 354/03 è il cliente dell'ISP e non il
titolare della linea (che è abbonato del gestore telefonico).
Considerato che la reverse interconnection è quantificata sulla base del
traffico generato su una linea, e non dai servizi che ci passano sopra, l'ISP
tratta a fini di fatturazione i dati della linea chiamante che però, non
essendo intestata al proprio abbonato connesso, non rientra nelle ipotesi del
decreto. E quindi non scatta l'obbligo di conservazione per trenta più trenta
mesi. Tratta invece i dati relativi alla chiamata, che però arriva da un
soggetto con il quale non ha alcun rapporto giuridico. E dunque non è obbligato
a conservare questi dati. D'altra parte non è possibile sostenere l'esistenza
di un contratto concluso "al momento", perché mancano gli elementi
essenziali di un contratto come, per lo meno, la volontà dell'intestatario
dell'utenza telefonica di intrattenere un rapporto giuridico con l'ISP e la
consapevolezza sul contenuto dell'obbligazione.
L'aspetto paradossale della situazione creata dal DL 354/03 è che, in
rapporto ai servizi internet, l'obbligo di conservazione per gli ISP si
configura a seconda della tipologia di commercializzazione dei prodotti. Se
housing, hosting, mail e via discorrendo sono fatturati a canone fisso, non c'è
obbligo di conservazione. Se gli stessi servizi sono fatturati a tempo o a
volume i dati di traffico vanno conservati. E' facile immaginare che, se
questo decreto legge dovesse essere convertito così com'è, gli ISP dovranno
rivedere profondamente la propria offerta commerciale. O addirittura, valutare
la possibilità di uscire da questo mercato. Il che, per certi versi,
favorirebbe anche l'opera degli investigatori, che avrebbero così a che fare
con un numero ridotto di interlocutori.
Ma non farebbe certo bene al sistema-paese.
|
Pagina stampabile
