|
Modifiche di rilievo per le misure di sicurezza e i tempi di
conservazione dei dati del traffico telematico per determinate finalità di
investigazioni preventive. Queste sono alcune conseguenze della legge 18 marzo
2008, n. 48 Ratifica ed esecuzione della Convenzione del Consiglio d’Europa
sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di
adeguamento dell’ordinamento interno.
Le modifiche riguardano l’articolo 132 del "codice in materia di protezione
dati personali", nel quale sono introdotti i commi 4-ter, 4-quater
e 4-quinquies.
Queste modifiche arrivano dopo il provvedimento
del Garante Misure e accorgimenti a garanzia degli interessati in tema di
conservazione di dati di traffico telefonico e telematico per finalità di
accertamento e repressione dei
reati, del 17 gennaio 2008,
con il quale sono state precisate le prescrizioni, ai sensi dell’art. 17 del
codice, di quanto definito al comma 5 dell’art. 132. Le modifiche
sono anche in anticipo sull’atteso recepimento in Italia della direttiva
europea 2006/24/CE sulla conservazione dei dati di traffico telefonico e
telematico (vedi Dati
del traffico: le nuove "misure" del Garante).
L’interesse per tali modifiche deriva dalle novità
introdotte con le nuove norme, che devono essere lette con attenzione e
inquadrate nel contesto dell’art. 132, ben sapendo che il recepimento della
direttiva europea sulla data retention potrà aggiungere ulteriori
variazioni all’assetto delle norme che riguardano la “conservazione di dati
di traffico per altre finalità”.
Tutto questo comporta, per i fornitori e gli operatori di servizi
informatici e telematici, diversi impegni di natura organizzativa, procedurale e
tecnica, che devono inserirsi nel quadro preesistente.
Il testo dei commi 4-ter e 4-quater, di diretto interesse per i
fornitori e gli operatori di servizi informatici e telematici, può essere
riletto secondo uno schema di riferimento che supporti la rappresentazione della
norma in termini di motivazioni, attori, azioni richieste, oggetto delle azioni,
opzioni di varia natura, ulteriori compiti e responsabilità.
Motivazioni: ai fini dello svolgimento delle
investigazioni preventive previste dall’articolo 226 delle norme di cui al
decreto legislativo n. 271/89, ovvero per finalità di accertamento e
repressione di specifici reati.
Richiedente: Il Ministro dell’interno o, su sua delega,
i responsabili degli uffici centrali specialistici in materia informatica o
telematica della Polizia di Stato, dei Carabinieri e della Guardia di finanza,
nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme
di attuazione, di coordinamento e transitorie del codice di procedura penale, di
cui al decreto legislativo 28 luglio 1989, n. 271.
Ricevente: il fornitore o l’operatore di servizi
informatici o telematici
Azione del richiedente verso il ricevente: quella che il
richiedente può ordinare, con apposito provvedimento, anche in relazione alle
eventuali richieste avanzate da autorità investigative straniere
Conseguente azione del ricevente: conservare e
proteggere, secondo le modalità indicate, e per un periodo non superiore ai 90
giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti
delle comunicazioni.
Opzioni di natura temporale: il provvedimento è
prorogabile per motivate esigenze per una durata complessiva non superiore a sei
mesi.
Opzioni sulla custodia e sulla disponibilità dei dati:
il provvedimento può prevedere particolari modalità di custodia dei dati e l’eventuale
indisponibilità dei dati stessi da parte del ricevente ovvero di terzi.
Ulteriori compiti e responsabilità del ricevente, oltre a
quelli indicati in conseguenza dell'azione del richiedente: deve
ottemperarvi senza ritardo, fornendo immediatamente all’autorità richiedente
l’assicurazione dell’adempimento. Il fornitore o l’operatore di servizi
informatici o telematici è tenuto a mantenere il segreto relativamente all’ordine
ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità.
In caso di violazione dell’obbligo si applicano, salvo che il fatto
costituisca più grave reato, le disposizioni dell’articolo 326 del codice
penale.
Dalla lettura di queste norme emergono alcuni punti che
meritano attenzione.
1. Gli aspetti temporali
I tempi di conservazione variano da i 90 giorni fino ad un massimo di 6
mesi, in caso di successive proroghe del provvedimento con il quale è ordinata
la conservazione. Lo schema che segue, che abbiamo già visto in un precedente
articolo, riporta il quadro completo, ad oggi noto, dei periodi di conservazione
dei dati di traffico telefonico e telematico per i fini indicati negli articoli
123 e 132 del codice.
A : a fini di documentazione in caso
di contestazione della fattura o per la pretesa del pagamento, è consentito al
fornitore, per un periodo non superiore a sei mesi, salva l'ulteriore specifica
conservazione necessaria per effetto di una contestazione anche in sede
giudiziale (art. 123, comma 2 DLGV 196/03).
B: per finalità
di accertamento e repressione dei reati (art 132, comma 1 DLGV 196/03).
C: per esclusive finalità di accertamento e repressione dei delitti di cui
all'art. 407, comma 2, lettera a) del codice di procedura penale, nonché dei
delitti in danno di sistemi informatici o telematici (art. 132, comma 2 DLGV
196/03).
D: debbono essere conservati fino a
quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio
di comunicazione elettronica accessibile al pubblico, fatte salve le
disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I dati
del traffico conservati oltre i limiti previsti dall'art. 132 del decreto
legislativo 30 giugno 2003, n. 196, possono essere utilizzati esclusivamente per
le finalità del decreto-legge, salvo l'esercizio dell'azione penale per i reati
comunque perseguibili (Art. 6. Nuove norme sui dati del traffico telefonico e
telematico legge 31 luglio 2005 n. 155 (Pisanu), comma 1come modificato dal
decreto "mille proroghe" n. 248 del 31.12.2007).
E: ai fini dello svolgimento delle
investigazioni preventive previste dall’articolo 226 delle norme di cui al
decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e
repressione di specifici reati ( in conseguenza della ratifica italiana della
convenzione sul Cyber Crime)
2. L’identificazione del traffico telematico
Ad oggi nella normativa italiana non esiste una definizione di traffico
telematico né una sua identificazione oggettiva in termini di dati che lo
compongono. Probabilmente il recepimento in Italia della direttiva sulla
conservazione dei dati fornirà la giusta occasione per colmare questa lacuna.
Da notare che l'espressione “dati relativi al traffico telematico” sembra
comunque ampliare in modo indefinito il contesto effettivo dei dati in
questione. Il problema non è puramente teorico. Infatti si deve capire quale
siano questi dati, sia per gli operatori che devono approntare il necessario
apparato tecnico-procedurale per “conservare e proteggere”, sia per noi
stessi, nei nostri molteplici ruoli di interessati/utenti/abbonati. Dobbiamo
infatti essere messi in condizione di capire le norme che ci riguardano,
specialmente quando si riferiscono ad aspetti che non sono assolutamente sotto
nostro controllo, e per le fattispecie delle comunicazioni, informatiche e
telematiche,.
3. I destinatari
Il titolo X del codice, nel quale l’articolo 132 è inserito, riguarda il
trattamento dei dati personali connesso alla fornitura di servizi di
comunicazione elettronica accessibili al pubblico su reti pubbliche di
comunicazioni (art 121). Dunque si tratta di fornitori che offrono servizi al
pubblico e non quelli che offrono servizi ad un ristretto (in quanto
identificato) gruppo di utenti.
Anche con il provvedimento del Garante del 17 gennaio 2008 quest’ultimi sono
stati esplicitamente esclusi dal novero dei destinatari. Si rammenta che tra
essi rientrano le grandi aziende che per proprie esigenze dispongono di servizi
telematici interni, oppure i soggetti che forniscono servizi
telematici/informatici a grandi aziende (ad esempio servizi di hosting,
di accesso ad Internet, di posta elettronica ecc.). Questi non
sono intesi come servizi offerti “al pubblico”.
Occorre però notare che quanto introdotto all’art 132 dalla ratifica italiana
della convenzione sul crimine informatico si riferisce chiaramente a “il
fornitore o l’operatore di servizi informatici o telematici”.
Il termine “fornitore” risulta già utilizzato nell’art 132, mentre invece
così non è per “l’operatore di servizi informatici o telematici”.
Considerando anche che la convenzione non limita il suo campo di intervento agli
operatori che offrono servizi “pubblici”, sarebbe opportuna una precisazione
sull’argomento, così come il Garante ha fatto nel citato provvedimento del 17
gennaio 2008, a proposito dei destinatari del provvedimento stesso.
4. Le finalità e le misure di conservazione e protezione
Per le finalità di cui al comma 2 dell’ art. 132 (esclusive finalità di
accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera
a) del codice di procedura penale, nonché dei delitti in danno di sistemi
informatici o telematici), il citato provvedimento del Garante prescrive una
serie importante di misure ed accorgimenti di varia natura (tecnica,
organizzativa ecc.), che devono essere posti in essere entro il 31 ottobre di
quest’anno.
Ora, in conseguenza della ratifica della convenzione, possono essere richieste
misure potenzialmente anche diverse da quelle prescritte dal Garante, di volta
in volta con il singolo provvedimento dell’autorità che richiede “la
conservazione di dati relativi al traffico telefonico ai fini dello svolgimento
delle investigazioni preventive previste dall’articolo 226 delle norme di cui
al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e
repressione di specifici reati” delle. Questo aspetto comporta, per il
fornitore/ operatore di servizi informatici o telematici, uno sforzo ulteriore
per attuare, in modo coordinato, misure diverse sulla medesima tipologia di
dati.
E’ possibile fare alcuni esempi, prendendo come sempre il base provvedimento
del Garante del 17 gennaio scorso, che ad oggi è il più recente e più
dettagliato riferimento in tema di misure ed accorgimenti per i dati di traffico
telefonico e telematico. Si deve forse prospettare per gli incaricati una
designazione ad hoc per questa nuova finalità connessa al crimine
informatico e un profilo per l’accesso ai dati diverso da quello per art 132,
comma 2? I dati potrebbero essere cifrati come già è indicato, nei casi di cui
al comma 2 dell’art. 132 del codice, nel provvedimento del 17 gennaio 2008.
Inoltre le due finalità, quelle di cui al comma 2 e al nuovo comma 4-ter
dell’art 132, potrebbero non sempre essere totalmente disgiunte e
perfettamente separate. Pertanto, nei casi di sovrapposizione, le misure da
attuare per la conservazione dei dati dovrebbero essere le medesime.
Inoltre, in merito alla eventuale indisponibilità dei dati in quanto vincolati
dalle finalità di cui al comma 4-ter, il fornitore/operatore di servizi
informatici o telematici dovrà trovare una regola robusta da seguire ed un
corretto profilo delle proprie responsabilità nei casi in cui, a causa della
indisponibilità del dato, non sia possibile soddisfare altre richieste
provenienti da altre autorità, magari per le finalità di cui al comma 2 dell’art.
132, e per non dover subire impatti negativi nei propri processi legati al business
(ad esempio il billing). L’indisponibilità dei dati dovrà poi essere
circoscritta tenendo presente che essi possono essere duplicati per motivi di
sicurezza, oppure in ossequio ad altre norme, e che possono essere richiesti
dagli interessati in virtù dell’esercizio dei diritti di cui all’art. 7 del
codice.
5. Obbligo di segretezza
L’obbligo è ora direttamente richiamato e sanzionato (art. 326 del codice
penale). Sembra evidente una disparità con il caso di traffico telefonico.
6. Fornitura dei dati all’autorità richiedente
I nuovi commi dell’art 132 non riportano nulla di specifico sulla modalità di
fornitura dei dati all’autorità richiedente. Il criterio con il quale i dati
possono essere richiesti potrebbe essere differente da quello che siamo subito
portati ad immaginare: dati riferiti ad un signor X. L’insieme dei dati
raggruppabili sotto il termine “relativo al traffico telematico”, è tale da
poter attivare criteri di ricerca assolutamente diversi e funzionali al tipo di
investigazione che deve essere svolta, anche dietro richiesta di autorità non
italiana.
Il problema non è affatto banale. La convenzione sul crimine informatico è
basata sulla cooperazione internazionale tra le autorità compenti e dunque l’apertura
a diversi criteri di ricerca, seppur standardizzati, è necessaria per un
efficace scambio e una cooperazione effettiva.
L'ETSI (European Telecommunications Standards Institute, l'istituto per gli standard ICT dell'Unione europea) ha
già emanato e continua ad aggiornare le specifiche tecniche anche per questo
settore. Però esse devono essere recepite nei singoli ambiti nazionali, quindi
i chiarimenti sono indispensabili.
Nota: Gloria Marcoccio sarà relatrice
nel seminario InterLex Organizzazione,
privacy, sicurezza: applicare le nuove norme del 28
maggio prossimo.
|
Pagina stampabile
