Decreto legislativo 30 maggio 2008 , n. 109

Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE

GU n. 141 del 18-6-2008 - testo in vigore dal: 3-7-2008

Visti gli articoli 76 e 87 della Costituzione;
Vista la legge 6 febbraio 2007, n. 13, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee - Legge comunitaria 2006, ed in particolare l'articolo 1 e l'allegato B;
Vista la direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE;
Visto il decreto legislativo 30 giugno 2003, n 196, e successive modificazioni, recante Codice in materia di protezione dei dati personali;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale;
Sentito il Garante per la protezione dei dati personali;
Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 27 febbraio 2008;
Acquisito il parere della competente Commissione della Camera dei deputati;
Considerato che la competente Commissione del Senato della Repubblica non si è espressa nel termine previsto;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 21 maggio 2008;
Sulla proposta del Ministro per le politiche europee e del Ministro per la pubblica amministrazione e l'innovazione, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze, dello sviluppo economico, dell'interno e della difesa;

E m a n a
il seguente decreto legislativo:

1. Ai fini del presente decreto si intende:
a) per utente: qualsiasi persona fisica o giuridica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, senza esservi necessariamente abbonata;
b) per dati relativi al traffico: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione, ivi compresi i dati necessari per identificare l'abbonato o l'utente;
c) per dati relativi all'ubicazione: ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico, ivi compresi quelli relativi alla cella da cui una chiamata di telefonia mobile ha origine o nella quale si conclude;
d) per traffico telefonico: le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e quelle basate sulla trasmissione dati, purché fornite da un gestore di telefonia, i servizi supplementari, inclusi l'inoltro e il trasferimento di chiamata, la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve, servizi mediali avanzati e servizi multimediali;
e) per chiamata senza risposta: la connessione istituita da un servizio telefonico accessibile al pubblico, non seguita da un'effettiva comunicazione, in quanto il destinatario non ha risposto ovvero vi è stato un intervento del gestore della rete;
f) per identificativo dell'utente: l'identificativo unico assegnato a una persona al momento dell'abbonamento o dell'iscrizione presso un servizio di accesso internet o un servizio di comunicazione internet;
g) per indirizzo di protocollo internet (IP) univocamente assegnato: indirizzo di protocollo (IP) che consente l'identificazione diretta dell'abbonato o utente che effettua comunicazioni sulla rete pubblica.
2. Ai fini del presente decreto si applicano, altresì, le ulteriori definizioni, non ricomprese nel comma 1, elencate nell'articolo 4 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante codice in materia di protezione dei dati personali, di seguito denominato: «Codice».

Art. 2. Modifiche all'articolo 132 del Codice

1. All'articolo 132 del Codice sono apportate le seguenti modificazioni:
a) al comma 1, dopo le parole: «ventiquattro mesi» sono inserite le seguenti: «dalla data della comunicazione», le parole: «, inclusi quelli concernenti le chiamate senza risposta,» sono soppresse e le parole: «sei mesi» sono sostituite dalle seguenti: «dodici mesi dalla data della comunicazione»;
b) dopo il comma 1 è inserito il seguente: «1-bis. I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.»;
c) i commi 2, 4 e 4-bis sono abrogati;
d) il comma 5 è così modificato:
1) all'alinea, le parole: «ai commi 1 e 2» sono sostituite dalle seguenti: «al comma 1» e le parole: «volti anche a» sono sostituite dalle seguenti: «volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché a»;
2) le lettere b) e c) sono soppresse;
3) alla lettera d) le parole: «ai commi 1 e 2» sono sostituite dalle seguenti: «al comma 1».

1. Le categorie di dati da conservare per le finalità di cui all'articolo 132 del Codice sono le seguenti:
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile:
1.1 numero telefonico chiamante;
1.2 nome e indirizzo dell'abbonato o dell'utente registrato;
2) per l'accesso internet:
2.1 nome e indirizzo dell'abbonato o dell'utente registrato a cui al momento della comunicazione sono stati univocamente assegnati l'indirizzo di protocollo internet (IP), un identificativo di utente o un numero telefonico;
3) per la posta elettronica:
3.1 indirizzo IP utilizzato e indirizzo di posta elettronica ed eventuale ulteriore identificativo del mittente;
3.2 indirizzo IP e nome a dominio pienamente qualificato del mail exchanger host, nel caso della tecnologia SMTP ovvero di qualsiasi tipologia di host relativo ad una diversa tecnologia utilizzata per la trasmissione della comunicazione;
4) per la telefonia, invio di fax, sms e mms via internet:
4.1 indirizzo IP, numero telefonico ed eventuale altro identificativo dell'utente chiamante;
4.2 dati anagrafici dell'utente registrato che ha effettuato la comunicazione;
b) i dati necessari per rintracciare e identificare la destinazione di una comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile:
1.1 numero composto, ovvero il numero o i numeri chiamati e, nei casi che comportano servizi supplementari come l'inoltro o il trasferimento di chiamata, il numero o i numeri a cui la chiamata è trasmessa;
1.2 nome e indirizzo dell'abbonato o dell'utente registrato;
2) per la posta elettronica:
2.1 indirizzo di posta elettronica, ed eventuale ulteriore identificativo, del destinatario della comunicazione;
2.2 indirizzo IP e nome a dominio pienamente qualificato del mail exchanger host (nel caso della tecnologia SMTP), ovvero di qualsiasi tipologia di host (relativamente ad una diversa tecnologia utilizzata), che ha provveduto alla consegna del messaggio;
2.3 indirizzo IP utilizzato per la ricezione ovvero la consultazione dei messaggi di posta elettronica da parte del destinatario indipendentemente dalla tecnologia o dal protocollo utilizzato;
3) telefonia, invio di fax, sms e mms via internet:
3.1 indirizzo IP, numero telefonico ed eventuale altro identificativo dell'utente chiamato;
3.2 dati anagrafici dell'utente registrato che ha ricevuto la comunicazione;
3.3 numero o numeri a cui la chiamata è trasmessa, nei casi di servizi supplementari come l'inoltro o il trasferimento di chiamata;
c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile, data e ora dell'inizio e della fine della comunicazione;
2) per l'accesso internet :
2.1 data e ora (GMT) della connessione e della disconnessione dell'utente del servizio di accesso internet, unitamente all'indirizzo IP, dinamico o statico, univocamente assegnato dal fornitore di accesso internet a una comunicazione e l'identificativo dell'abbonato o dell'utente registrato;
3) per la posta elettronica:
3.1 data e ora (GMT) della connessione e della disconnessione dell'utente del servizio di posta elettronica su internet ed indirizzo IP utilizzato, indipendentemente dalla tecnologia e dal protocollo impiegato;
4) per la telefonia, invio di fax, sms e mms via internet:
4.1 data e ora (GMT) della connessione e della disconnessione dell'utente del servizio utilizzato su internet ed indirizzo IP impiegato, indipendentemente dalla tecnologia e dal protocollo usato;
d) i dati necessari per determinare il tipo di comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile: il servizio telefonico utilizzato;
2) per la posta elettronica internet e la telefonia internet: il servizio internet utilizzato;
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature:
1) per la telefonia di rete fissa, numeri telefonici chiamanti e chiamati;
2) per la telefonia mobile:
2.1 numeri telefonici chiamanti e chiamati;
2.2 International Mobile Subscriber Identity (IMSI) del chiamante;
2.3 International Mobile Equipment Identity (IMEI) del chiamante;
2.4 l'IMSI del chiamato;
2.5 l'IMEI del chiamato;
2.6 nel caso dei servizi prepagati anonimi, la data e l'ora dell'attivazione iniziale della carta e l'etichetta di ubicazione (Cell ID) dalla quale è stata effettuata l'attivazione;
3) per l'accesso internet e telefonia, invio di fax, sms e mms via internet:
3.1 numero telefonico chiamante per l'accesso commutato (dial-up access);
3.2 digital subscriber line number (DSL) o un altro identificatore finale di chi è all'origine della comunicazione;
f) i dati necessari per determinare l'ubicazione delle apparecchiature di comunicazione mobile:
1) etichetta di ubicazione (Cell ID) all'inizio della comunicazione;
2) dati per identificare l'ubicazione geografica della cella facendo riferimento alle loro etichette di ubicazione (Cell ID) nel periodo in cui vengono conservati i dati sulle comunicazioni.

2. Con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e l'innovazione, di concerto con i Ministri per le politiche europee, dello sviluppo economico, dell'interno, della giustizia, dell'economia e delle finanze e della difesa, sentito il Garante per la protezione dei dati personali, possono essere specificati, ove si renda necessario anche al fine dell'adeguamento all'evoluzione tecnologica e nell'ambito delle categorie di dati di cui alle lettere da a) ad f) del comma 1, i dati da conservare.

1. All'articolo 154 comma 1, lettera a), del Codice, sono aggiunte, infine, le parole: «e con riferimento alla conservazione dei dati di traffico».

2. I fornitori di servizi di cui al presente decreto entro il 30 giugno, inviano annualmente al Ministero della giustizia, per il successivo inoltro alla Commissione europea, le informazioni relative:
a) al numero complessivo dei casi in cui sono state forniti i dati relativi al traffico telefonico o telematico alle autorità competenti conformemente alla legislazione nazionale applicabile;
b) al periodo di tempo trascorso fra la data della memorizzazione dei dati di traffico e quella della richiesta da parte delle autorità competenti;
c) ai casi in cui non è stato possibile soddisfare le richieste di accesso ai dati.

1. Dopo l'articolo 162 del Codice è inserito il seguente:
«Art. 162-bis. (Sanzioni in materia di conservazione dei dati di traffico). 1. Salvo che il fatto costituisca reato e salvo quanto previsto dall'articolo 5, comma 2, del decreto legislativo di recepimento della direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006, nel caso di violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro, che può essere aumentata sino al triplo in ragione delle condizioni economiche dei responsabili della violazione.».

2. Salvo che il fatto costituisca reato, l'omessa o l'incompleta conservazione dei dati ai sensi dell'articolo 132, commi 1 e 1-bis, del Codice, è punita con la sanzione amministrativa pecuniaria da euro 10.000 ad euro 50.000 che può essere aumentata fino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Nel caso di assegnazione di indirizzo IP che non consente l'identificazione univoca dell'utente o abbonato si applica la sanzione amministrativa pecuniaria da 5.000 euro a 50.000 euro, che può essere aumentata fino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Le violazioni sono contestate e le sanzioni sono applicate dal Ministero dello sviluppo economico.

1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

2. I soggetti pubblici interessati provvedono agli adempimenti derivanti dall'attuazione del presente decreto con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

3. La disposizione dell'articolo 132, comma 1-bis, del Codice, introdotta dall'articolo 2, comma 1, lettera b), ha effetto decorsi tre mesi dalla data di entrata in vigore del presente decreto.

4. L'articolo 6, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, è abrogato.

5. I fornitori di servizi di comunicazione elettronica accessibili al pubblico che offrono servizi di accesso a internet (Internet Acces Provider) assicurano la disponibilità e l'effettiva univocità degli indirizzi di protocollo internet entro novanta giorni dalla data di entrata in vigore del presente decreto.

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addì 30 maggio 2008
NAPOLITANO
Berlusconi, Presidente del Consiglio
dei Ministri
Ronchi, Ministro per le politiche
europee
Brunetta, Ministro per la pubblica
amministrazione e l'innovazione
Frattini, Ministro degli affari
esteri
Alfano, Ministro della giustizia
Tremonti, Ministro del-l'economia e
delle finanze
Scajola, Ministro dello sviluppo
economico
Maroni, Ministro del-l'interno
La Russa, Ministro della difesa
Visto, il Guardasigilli: Alfano