|
Articoli precedenti:
Data retention,
la "Pisanu" dovrà fare i conti con l'Europa
Data retention: che cosa prevede la direttiva europea
In Italia si è conclusa il 31 ottobre di quest’anno
la consultazione pubblica avviata dal Garante per la privacy sulle “regole
per la messa in sicurezza dei dati di traffico telefonico e internet".
Si tratta dell'attuazione dell'art. 132
del decreto legislativo 196/03, in attesa del recepimento in Italia della direttiva europea sulla conservazione
dei dati di traffico telefonico e telematico 2006/24/CE
(spesso indicata come la direttiva sulla Data Retention - vedi Data
retention: che cosa prevede la direttiva europea).
In attesa di conoscere gli esiti della consultazione italiana e di leggere il
decreto legislativo di recepimento della direttiva, vediamo quanto in proposito hanno già iniziato a
fare gli altri paesi europei. Tra questi si ritiene interessante commentare il
recente caso inglese.
In Inghilterra la direttiva sulla conservazione dei dati di
traffico è stata recepita ed è divenuta legge in vigore dal 1° ottobre 2007,
solo due settimane di ritardo rispetto alla data stabilita nella direttiva
stessa: 15 settembre 2007.
La Gran Bretagna è uno dei 16(!) Paesi membri che ha scelto di non recepire
completamente la direttiva entro il 2007: quanto attiene alla conservazione dei
dati di traffico e relative misure di sicurezza per accesso alla Internet,
telefonia su Internet (VOIP) ed e-mail, saranno recepite più tardi, entro il 15
marzo 2009.
Prima di arrivare alla legge, anche nel Regno Unito è stata percorsa la strada
della consultazione pubblica: vediamo come e con quali risultati.
L’Home Office ha pubblicato il testo preliminare del
recepimento della direttiva, ed ha invitato chiunque a formulare commenti non in
forma libera, ma rispondendo a poche domande poste sul testo, di carattere
riassuntivo e tese a evidenziare eventuali aspetti non chiari del testo
preliminare. Alla consultazione pubblica hanno aderito diciotto organizzazioni, tra le
quali i principali operatori di telefonia pubblica operanti nel Paese e alcune
tra le più rilevanti associazioni di Internet services provider.
Al termine della consultazione il governo inglese ha pubblicato a giugno un
resoconto per esporre i risultati ottenuti ed indicare quali aspetti delle
risposte avrebbero portato alla modifica del testo preliminare.
La grande maggioranza degli aderenti, l’85 per cento circa,
ha concordato nel ritenere troppo complesse e ancora non sufficientemente
mature le regole di conservazione dei dati da applicare al settore Internet: sono state
evidenziate difficoltà di carattere tecnico ed operativo e mancanza di adeguate
risorse per assicurare un periodo massimo di conservazione, come richiesto dalla
direttiva UE.
Pertanto è stato accolto con grande soddisfazione lo slittamento all’anno
2009 del recepimento della direttiva per il traffico Internet.
Tra l’altro un numero significativo di aderenti alla consultazione ha
richiesto di mantenere il rapporto di collaborazione tra governo ed industria
fino al definitivo completamento del recepimento della direttiva, ed il governo
ha dato ampia assicurazione su questo, mostrando una comprensibile attenzione
alle difficoltà nell’implementare le misure relative ad Internet.
Tanta attenzione da parte del governo è anche dovuta all’approccio
che in Gran Bretagna è stato deciso di seguire in relazione ai costi derivanti
dalla attuazione delle misure richieste, in quanto lo Stato attuerà un regime
di rimborsi, come vedermo più avanti in questo articolo, anche per evitare
distorsioni sul mercato, tra le aziende più o meno coinvolte nelle attività e
nelle spese richieste per la Data Retention.
Altro aspetto emerso dalla consultazione è stata la preoccupazione da parte
dell’industria riguardo alla corretta individuazione degli effettivi
destinatari della legge: il governo ha risposto affermando che avrebbe in
proposito migliorato il testo ed ha comunque invitato le organizzazioni in
dubbio, anche in futuro, a chiedere chiarimenti direttamente al Home Office, il
quale risponderà a ciascuno di essi in modo formale se, questi, è destinatario
o meno delle disposizioni sulla conservazione dei dati.
Qui di seguito è riportato un breve commento agli articoli della legge inglese
(The Data Retention Regulation 2007) e, laddove più interessante, sarà fatto
qualche riferimento al testo preliminare di legge sottoposto alla consultazione
pubblica in Italia.
Ambito di applicazione
La legge si applica a tutti i fornitori di comunicazioni pubbliche (nel seguito
indicati per brevità con il termine: operatori). La legge non si applica a
quegli operatori che hanno ricevuto dal governo un notifica scritta che non li
impegna a conservare quei dati che sono già conservati, in Gran Bretagna, da un
altro operatore. Questo approccio è strettamente legato al fine di non
duplicare inutilmente costi di conservazione (come già indicato, il governo
partecipa ai costi della data retention)
Obblighi di conservazione
Devono essere conservati, per un periodo di 12 mesi, i dati di traffico che sono
generati e/o trattati da un operatore nel processo di fornitura di servizi
(telefonici) ad abbonati ed utenti, incluse le chiamate senza risposta, sempre
che i dati riferiti a queste siano generati o trattati o memorizzati in Gran
Bretagna dall’operatore. I dati da conservare sono quelli indicati dalla
direttiva europea nel caso di traffico telefonico fisso e mobile (ribadendo,
servizi Internet tutti esclusi).
Per quanto concerne le misure di sicurezza, il testo inglese non scende in
dettaglio e ripropone i principi espressi nella direttiva stessa: solo per la distruzione dei dati, la legge chiarisce, come risultato della consultazione
pubblica, che i dati sono immediatamente distrutti dopo i 12 mesi, a meno che l’operatore
non li conservi per propri scopi legittimi.
Requisiti di memorizzazione per i dati conservati
È ribadito il principio della direttiva, che richiede che i dati siano
memorizzati in modo tale che essi possano essere trasmessi senza ingiustificato
ritardo in risposta alle richieste.
Autorità
L’autorità incaricata di supervisionare l’attuazione della legge è il
Garante inglese per la privacy.
Statistiche
Entro il 31 Marzo di ogni anno gli operatori devono fornire al governo, riferiti
ai 12mesi precedenti tale data, informazioni statistiche riguardo il numero di
casi in cui i dati sono stati forniti alle autorità a fronte di una richiesta
ed il numero di casi in cui l’operatore non ha potuto soddisfare tali
richieste.
Rimborsi
Il governo rimborsa le spese sostenute dagli operatori per conformarsi a questa
norma. Il rimborso al singolo operatore è condizionato a quanto preventivamente
esposto e concordato con il governo in termini di costi stimati. Il governo può
richiedere all’operatore di sottoporsi a verifiche che possano essere
ragionevolmente necessarie per verificare ogni richiesta di rimborso invocata a
fronte di questa norma.
Ferme restando tutte le diversità ben note tra l’impostazione di una legge in
Italia ed una in Gran Bretagna, scorriamo insieme alcuni differenze, quelle che
saltano subito in evidenza comparando questa legge con il testo
preliminare italiano sottoposto alla consultazione pubblica. Analizzarle tutte
va ben oltre lo scopo di un breve articolo ed in ogni caso si dovrebbero
consultare
due testi nel medesimo stato di validità: al contrario quello inglese è legge,
mentre quello italiano è un testo preliminare, non definitivo. Ci si limita
quindi a commentare il livello di misure di sicurezza e l’aspetto
partecipazione ai costi.
Le misure di sicurezza inglesi non sono più dettagliate di
quelle italiane. A tal proposito occorre però ricordare che in Gran Bretagna le
aziende del settore hanno già avuto modo di aderire, su base volontaria, al
codice di condotta relativo alla conservazione dei dati di traffico (parte della
legge del 2001 su antiterrorismo, crimini e sicurezza). Le misure di sicurezza
italiane sono puntualmente descritte nel testo preliminare e così come sono,
possono produrre consistenti impatti sui budget degli operatori italiani.
La legge inglese interviene su i costi sostenuti dalle
aziende con rimborsi, da erogarsi in base a stime iniziali concordate e
riscontri con verifiche. Fonti autorevoli indicano in 6 milioni di sterline la
cifra stanziata come budget dal governo inglese in relazione alle spese per la
Data Retention. Sul fronte italiano non risultano, almeno dal testo preliminare,
elementi su questo aspetto che, a ben ricordare, era stato accennato a suo tempo
nel comma 4 articolo art. 6 ”Nuove norme sui dati del traffico telefonico e
telematico”, della legge "Pisanu" (decreto-legge 27 luglio 2005, n. 144, recante
misure urgenti per il contrasto del terrorismo internazionale, convertito con
modifiche con la legge 31 luglio 2005, n. 155.
Occorrerà riflettere e molto sulle disomogeneità tra paesi nel recepimento
della direttiva sulla data retention. Questo breve confronto con il caso inglese
porta a considerare, tra gli innumerevoli altri aspetti da tenere presenti:
- il parziale o completo recepimento della direttiva;
- le misure di sicurezza richieste più o meno stringenti;
- le ripartizioni dei costi necessari per la conformità alla legge.
Le conseguenze riguardano tra l’altro: le possibili
alterazioni nello stato di concorrenza tra le aziende diversamente impegnate a
sostenere i costi e mantenere in esercizio quanto necessario per essere conformi
alla norma; gli impatti sul fine ultimo di queste normative, ossia contrastare e
perseguire azioni criminose condotte a livello transnazionale; infine le
possibili migrazioni dei sistemi necessarie per attuare almeno alcune delle
misure di sicurezza previste verso paesi con una normativa più favorevole,
anche se recepita da una stessa, unica, direttiva europea.
|
Pagina stampabile
