|
Articolo precedente: Data retention,
la "Pisanu" dovrà fare i conti con l'Europa
Il 15 settembre scorso è scaduto il termine
entro il quale l'Italia dovrebbe attuare le disposizioni della dalla
europea 2006/24, "riguardante la conservazione di dati generati o trattati
nell’ambito della fornitura di servizi di comunicazione elettronica
accessibili al pubblico o di reti pubbliche di comunicazione". Al momento
della chiusa redazionale di questo numero, il 14 settembre, non si hanno ancora
notizie del decreto legislativo di recepimento, previsto dalla legge comunitaria
2006. Proseguiamo quindi l'analisi della direttiva, in attesa di commentare le
nuove disposizioni italiane.
In vista del prossimo recepimento in Italia della direttiva
2006/24/CE sulla conservazione dei dati dei servizi di comunicazione (nel seguito indicata
come "direttiva"), questo secondo articolo ne illustra gli aspetti
di maggior interesse da un punto di vista operativo, mettendoli in relazione con
quanto attualmente in vigore con la vigente normativa in Italia sulla data
retention (decreto-legge 27 luglio 2005, n. 144,
recante misure urgenti per il contrasto del terrorismo internazionale,
convertito in legge con le modificazioni riportate nella legge 31 luglio 2005,
n. 155, che per la conservazione dei dati ha apportato modifiche al DLGV 196/03 “Codice in materia di
protezione dati personali").
L’interesse riguardo gli aspetti operativi si concretizza nel ”leggere”
una normativa in termini di ruoli coinvolti, responsabilità e compiti
assegnati ad essi, oggetti dei compiti e condizioni al contorno. Questo approccio
di lettura tende a favorire una veloce e maggior comprensione dei disposti, a
far raggiungere una sufficiente consapevolezza riguardo le responsabilità in
gioco e gli oneri, di varia natura, che i ruoli sono chiamati a sostenere. Non
deve sembrare questo un approccio semplicistico o superficiale: la semplicità e
la chiarezza sono esigenze di noi tutti visti come destinatari delle normative,
a maggior ragione quando è richiesto di fornire contributi a costi ben diversi
da zero come è appunto il caso della conservazione dei dati (almeno per gli
operatori pubblici di telecomunicazioni e provider di servizi internet).
Chiarezza semplicità e tracciabilità sono caratteristiche fondamentali di ogni
buona norma, ed a tal proposito il Considerando 24 della stessa direttiva
espressamente richiama il punto 34 dell’accordo interistituzionale
«Legiferare meglio» (Oj C 321, 31.12.2003, p. 1) con il quale “ gli Stati
membri sono incoraggiati a redigere e rendere pubblici, nell’interesse proprio
e della Comunità, prospetti indicanti, per quanto possibile, la concordanza tra
le direttive e i provvedimenti di recepimento”.
Procediamo allora con la nostra lettura della direttiva in termini di aspetti
operativi e osservando il requisito di tracciabilità allo scopo di mettere in
relazione i disposti presenti in essa con quelli della legge italiana attuale:
questo fornirà una possibile guida per analizzare il futuro recepimento della
direttiva in Italia.
Un primo quadro di interesse è fornito da i ruoli e le relazioni esistenti
tra essi:
Enti che attuano data retention
Direttiva: art. 1 comma 1 ed art. 3 comma 1
Gli obblighi riguardano i fornitori di servizi di comunicazione elettronica
accessibili al pubblico o di una rete pubblica di comunicazione, con riferimento
ai dati generati o trattati nel quadro della fornitura dei servizi di
comunicazione interessati, nell’ambito della giurisdizione del singolo Paese
membro
Attuale legge in Italia:DLGV 196/03 art. 121. comma 1
Le disposizioni del Titolo X - Capo I del Codice (art. 121-132) si applicano al
trattamento dei dati personali connesso alla fornitura di servizi di
comunicazione elettronica accessibili al pubblico su reti pubbliche di
comunicazioni. Pertanto i fornitori di tali servizi sono destinatari delle
obbligazioni.
Destinatari dei dati
Direttiva: art. 4 comma 1
Gli Stati membri sono chiamati ad adottare misure per garantire che i dati
conservati ai sensi della direttiva siano trasmessi solo alle autorità
nazionali competenti, in casi specifici e conformemente alle normative
nazionali.
Attuale legge in Italia:
DLGV 196/03 art. 132 comma 3
Per finalità di accertamento e repressione dei reati, sono destinatari dei
dati:
- il pubblico ministero, anche su istanza del difensore dell'imputato, della
persona sottoposta alle indagini, della persona offesa e delle altre parti
private
- Il difensore dell'imputato o della persona sottoposta alle indagini
DLGV 196/03 art. 132 comma 4
Per esclusive finalità di accertamento e repressione dei delitti di cui
all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché
dei delitti in danno di sistemi informatici o telematici, è destinatario dei
dati:
- Il giudice
Procedure di scambio
Direttiva: art. 4 comma 1 (già indicato sopra)
Attuale legge in Italia:
DLGV 196/03 art. 132. comma 3
Per finalità di accertamento e repressione dei reati, i dati sono acquisiti
presso il fornitore (entro i termini di legge) con decreto motivato del pubblico
ministero anche su istanza del difensore dell'imputato, della persona sottoposta
alle indagini, della persona offesa e delle altre parti private. Il difensore
dell'imputato o della persona sottoposta alle indagini può richiedere,
direttamente al fornitore i dati relativi alle utenze intestate al proprio
assistito con le modalità indicate dall'articolo 391-quater del codice di
procedura penale, ferme restando le condizioni di cui all'articolo, comma 2,
lettera f), per il traffico entrante.
DLGV 196/03 art. 132. comma 4
Il giudice autorizza l'acquisizione dei dati, con decreto motivato, se ritiene
che sussistano sufficienti indizi dei delitti di cui all'articolo 407, comma 2,
lettera a), del codice di procedura penale, nonché dei delitti in danno di
sistemi informatici o telematici, questo dopo la scadenza del termine indicato
per la finalità precedente
DLGV 196/03 art. 132. comma 4-bis
Nei casi di urgenza, quando vi è fondato motivo di ritenere che dal ritardo
possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la
acquisizione dei dati relativi al traffico telefonico con decreto motivato che
è comunicato immediatamente, e comunque non oltre ventiquattro ore, al giudice
competente per il rilascio dell'autorizzazione in via ordinaria. Il giudice,
entro quarantotto ore dal provvedimento, decide sulla convalida con decreto
motivato. Se il decreto del pubblico ministero non è convalidato nel termine
stabilito, i dati acquisiti non possono essere utilizzati.
Interessati e relazioni con i medesimi
Direttiva: art. 1 comma 2 ed art.2
Non esistono specifici riferimenti agli Interessati ed alle relazioni con
questi, se non indirettamente nel rimando alle definizioni delle direttive sulla
privacy e le comunicazioni elettroniche (95/46/ CE, 2002/21CE e 2002/58/CE).
Sono ovviamente Interessati gli Abbonati e gli Utenti dei servizi di
comunicazioni elettroniche, cosi definiti all’art. 2. Da notare nell’art. 1
comma 2 l’estensione alle persone giuridiche come persone che in qualità di
abbonati o utenti di un servizio di comunicazioni elettroniche hanno i loro dati
conservati ai fini della data retention. Tale estensione è già presente nella
normativa italiana.
Attuale legge Italiana
Anche in questo caso non esistono specifici riferimenti oltre a quelli ovvi
tramite le definizioni nel DLGV 196/03 art. 4. A parte le banali lacune “logiche”
che saltano all’ evidenza, non si può non notare che siamo in presenza di una
notevole e critica elaborazione di dati personali, già riconosciuta come
trattamento con specifici rischi (art. 132 comma 5) e per la quale l’Interessato
non ha diritto neanche ad un po’ di Informativa (art. 13)….
Autorità di controllo
Direttiva: art. 9 comma 1
Ogni Stato membro designa una o più autorità pubbliche quali responsabili del
controllo dell’applicazione sul suo territorio delle disposizioni adottate
dagli Stati membri in conformità dell’articolo 7 per quanto concerne la
sicurezza dei dati conservati. Dette autorità possono essere le stesse
autorità di cui all’articolo 28 della direttiva 95/46/CE.
Attuale legge in Italia DLGV 196/03 art. 153-160
L’Autorità di controllo è quella istituita per la protezione dati personali
e privacy
Ambito di giurisdizione del Paese UE
Direttiva: art.1 comma 1 e art.3 comma 1
Attuale legge in Italia DLGV 196/03 art. 5
Sarà interessante vedere come sarà recepito l’ Ambito di applicazione, con
particolare riferimento alla giurisdizione. Ad oggi i requisiti italiani sulla
data retention, sono applicabili ai soggetti ai quali fa riferimento il DLGV
196/03 (art. 5. Oggetto ed ambito di applicazione ).L’interesse è dovuto al
fatto che i servizi oggetto dei requisiti sono per loro natura transnazionali e
gli operatori coinvolti svolgono le loro attività anche da altri paesi ovunque
nel mondo. Prendiamo come esempio SKYPE, realtà importante nel settore della
telefonia via computer, che sfrutta in modo efficace il peer to peer.
Come sarà applicabile ad una simile realtà la data retention italiana (…e
come lo è ad oggi la legge Pisanu?).
Il secondo quadro di interesse è rappresentato dall’insieme
dei compiti direttamente a carico degli Enti che sono chiamati ad attuare la
data retention.
Periodo di conservazione
Questo argomento è stato già affrontato nel
precedente articolo.
Protezione e sicurezza dei dati
direttiva: art.7
“Fatte salve le disposizioni adottate in conformità della direttiva 95/46/CE
e della direttiva 2002/58/CE, ogni Stato membro provvede a che i fornitori di
servizi di comunicazione elettronica accessibili al pubblico o di una rete
pubblica di comunicazione rispettino, come minimo, i seguenti principi di
sicurezza dei dati per quanto concerne i dati conservati in conformità della
presente direttiva:
a) i dati conservati sono della stessa qualità e sono soggetti alla stessa
sicurezza e tutela dei dati in rete;
b) i dati sono soggetti ad adeguate misure tecniche e organizzative intese a
tutelarli da una distruzione accidentale o illecita, da un’alterazione
o perdita accidentale, da immagazzinamento, trattamento, accesso o divulgazione
non autorizzati o illeciti;
c) i dati sono soggetti ad adeguate misure tecniche e organizzative intese a
garantire che gli stessi possono essere consultati soltanto da persone
appositamente autorizzate; e
d) i dati vengono distrutti alla fine del periodo di conservazione, fatta
eccezione per quelli consultati e conservati.”
Attuale legge in Italia DLGV 196/03:
Per il recepimento della direttiva 95/46/CE e della direttiva 2002/58/CE, i
requisiti essenziali relativi alla protezione e sicurezza sono espressi,
rispettivamente, agli articoli del Titolo V - Sicurezza dei dati e dei sistemi
ed Allegato B, ed agli articoli del Titolo X - Comunicazioni elettroniche.
Il riferimento diretto per l’art. 7 della direttiva è attualmente nell’art.
132 comma 5, che prevede, nel rispetto delle misure e degli accorgimenti
prescritti ai sensi dell’articolo 17 (Trattamento che presenta rischi
specifici): specifici sistemi di autenticazione informatica e di autorizzazione
degli incaricati del trattamento di cui all'allegato B), la disciplina delle
modalità di conservazione separate dei dati una volta decorso il termine di
conservazione, l’individuazione delle modalità di trattamento dei dati da
parte di specifici incaricati del trattamento in modo tale che, decorso il
termine di conservazione l'utilizzazione dei dati sia consentita solo nei casi
previsti dalla legge (commi 4 e 7 del medesimo articolo), indicazione delle
modalità tecniche per la periodica distruzione dei dati, decorsi i termini di
conservazione.
Nella sostanza la attuale norma sembra corrispondere a quanto indicato nella
direttiva, almeno per l’aspetto formale, mentre il punto d) dell’art. 7 della
direttiva evidenzia un nuovo requisito che sarà interessante vedere come sarà
interpretato nel prossimo recepimento in Italia: il riferimento più immediato
è a quei dati, conservati secondo le regole della data retention, che sono
stati richiesti per casi specifici dalle autorità competenti (i Destinatari dei
dati nel nostro modello di lettura).
Condizioni di immagazzinamento dei dati conservati
direttiva: art. 8
Gli Stati membri provvedono affinché i dati di cui all’articolo 5 siano
conservati conformemente alla presente direttiva in modo che i dati conservati e
ogni altra informazione necessaria ad essi collegata possano essere trasmessi
immediatamente alle autorità competenti su loro richiesta.
Attuale legge in Italia DLGV 196/03:
Attualmente il requisito non ha dirette corrispondenze nella normativa italiana
di riferimento. Sarà interessante vedere come il prossimo recepimento italiano
identificherà le “informazioni necessarie e collegate” ai dati conservati
che saranno anch’esse oggetto di trasmissione alle autorità competenti: ciò
ha impatto su quanto gli Enti che attuano data retention dovranno approntare e
porre in esercizio, anche per soddisfare il requisito temporale (quel “immediatamente”,
che invece nella versione inglese della direttiva è un “without undue delay”,
sicuramente più significativo oltre che oggettivamente quantificabile e
fisicamente realizzabile…).
Il terzo ed ultimo quadro di interesse riguarda le categorie dei dati oggetto
della data retention.
Direttiva: art. 5.
La direttiva in questa caso fornisce una specifica sufficientemente dettagliata
dei dati per i quali è richiesta la conservazione, qui di seguito
schematizzata:
Dati di traffico (dati di ubicazione esclusi)
|
Dati necessari per: |
Telefonia di rete fissa |
Telefonia mobile |
Accesso Internet |
Posta elettronica su Internet |
Telefonia via Internet |
|
a) rintracciare e identificare la fonte di una
comunicazione |
i) numero telefonico chiamante;
ii) nome e indirizzo dell’abbonato o dell’utente
registrato;
|
i) identificativo/i dell’utente;
ii) identificativo dell’utente e numero telefonico assegnati a ogni
comunicazione sulla rete telefonica pubblica;
iii) nome e indirizzo dell’abbonato o dell’utente registrato a cui
al momento della comunicazione sono stati assegnati l’indirizzo di
protocollo Internet (IP), un identificativo di utente o un numero
telefonico; |
|
b) rintracciare e identificare la destinazione di una
comunicazione:
|
i) numero/i digitato/i (il numero o i numeri
chiamati) e, nei casi che comportano servizi supplementari come l’inoltro
o il trasferimento di chiamata, il numero o i numeri a cui la chiamata
è trasmessa;
ii) nome/i e indirizzo/i dell’abbonato/i o dell’utente/i
registrato/i; |
|
i) identificativo dell’utente o numero telefonico
del/dei presunto/i destinatario/i di una chiamata telefonica via
Internet;
ii) nome/i e indirizzo/i dell’abbonato/i o dell’utente/i
registrato/i e identificativo del presunto destinatario della
comunicazione; |
|
c) determinare la data, l’ora e la durata di una
comunicazione |
data e ora dell’inizio e della fine della
comunicazione |
i) data e ora del log-in e del log-off del servizio
di accesso Internet sulla base di un determinato fuso orario, unitamente
all’indirizzo IP, dinamico o statico, assegnato dal fornitore di
accesso Internet a una comunicazione e l’identificativo dell’abbonato
o dell’utente registrato;
ii) data e ora del log-in e del log-off del servizio di posta
elettronica su Internet o del servizio di telefonia via Internet sulla
base di un determinato fuso orario; |
|
d) determinare il tipo di comunicazione: |
il servizio telefonico utilizzato |
|
il servizio Internet utilizzato |
|
e) determinare le attrezzature di comunicazione degli
utenti o quello che si presume essere le loro attrezzature |
Numeri telefonici chiamanti e chiamati |
i) numeri telefonici chiamanti e chiamati;
ii) International Mobile Subscriber Identity (IMSI) del chiamante;
iii) International Mobile Equipment Identity (IMEI) del chiamante;
iv) l’IMSI del chiamato;
v) l’IMEI del chiamato;
vi) nel caso dei servizi prepagati anonimi, la data e l’ora dell’attivazione
iniziale della carta e l’etichetta di ubicazione (Cell ID) dalla quale
è stata effettuata l’attivazione; |
i) numero telefonico chiamante per l’accesso
commutato (dial-up access);
ii) digital subscriber line (DSL) o un altro identificatore finale di
chi è all’origine della comunicazione; |
Dati relativi all'ubicazione
f) i dati necessari per determinare l’ubicazione delle apparecchiature di
comunicazione mobile:
1) etichetta di ubicazione (Cell ID) all’inizio
della comunicazione;
2) dati per identificare l’ubicazione geografica delle cellule facendo
riferimento alle loro etichette di ubicazione (Cell ID) nel periodo in cui
vengono conservati i dati sulle comunicazioni.
Attuale legge in Italia (DLGV 196/03):
La normativa italiana in oggetto si riferisce a “dati relativi al traffico”
e “dati relativi all’ubicazione”, che sono entrambi definiti ma non
specificati all’art. 4 del DLGV 196/03, ed al traffico telematico al quale non
è associata una corrispondente definizione o specifica.
Contesto dei dati
Direttiva:
art. 3 comma 2 e art. 5 comma 1
La direttiva estende l’obbligo di conservazione ai dati
specificati all’articolo 5 relativi ai tentativi di chiamata non riusciti dove
tali dati vengono generati o trattati e immagazzinati (per i
dati telefonici) oppure trasmessi (per i dati Internet) e non
richiede la conservazione dei dati per quanto riguarda le chiamate non
collegate.
La direttiva non richiede la conservazione di alcun dato relativo al contenuto
delle comunicazioni.
Attuale legge in Italia DLGV 196/03 art. 132 comma 1
La norma in vigore ad oggi richiede la conservazione dei dati relativi al
traffico telefonico concernente le chiamate senza risposta, ed esclude i
contenuti delle comunicazioni, in modo chiaro per il traffico telematico...
(Continua sul n. 364)
|
Pagina stampabile
