lunedì, Ottobre 14, 2024
Uncategorized

Data retention: stato dell’arte e sviluppi recenti in Europa

1. Introduzione: il problema della data retention

L’espressione data retention si riferisce alla conservazione, a cura dei gestori dei servizi di connettività, dei dati esterni alle comunicazioni, sul traffico telefonico e telematico effettuato dall’utenza per un determinato periodo di tempo[1]. La memorizzazione dei dati, per i gestori, rappresenta un vero e proprio obbligo di legge. Tale attività serve, infatti, a rintracciare ed identificare la fonte e la destinazione di una comunicazione, determinandone la data, l’ora e la durata, il tipo di connessione, le attrezzature utilizzate dagli utenti per comunicare e la loro ubicazione[2]. Va osservato, però, che nessun dato circa il contenuto delle comunicazioni può essere conservato e solo alcuni soggetti determinati possono accedere a questa ingente quantità di dati, ossia le autorità nazionali competenti, in casi specifici ed in conformità alle normative nazionali[3].

Il tema, soprattutto nell’epoca pandemica attuale, offre diversi spunti di riflessione in riferimento a ciò che oggi viene definito tracing, o “tracciamento”, ossia quel percorso inverso volto a trovare l’origine della condotta di reato posta in essere con l’ausilio di strumenti digitali, attraverso l’individuazione e la conservazione di informazioni esterne ai contenuti delle comunicazioni degli utenti[4], ma legate ad esse, come accade per i tabulati telefonici[5]. Il contesto normativo di riferimento è la direttiva 2006/24/CE[6], in Italia recepita mediante la riforma dell’art. 132 del d. lgs. 30 giugno 2003, n. 196, ossia il c.d. Codice della privacy[7], normativa che nel giro di pochi anni è stata oggetto di alcune importanti riforme[8]. Nel 2018, in particolare con il d. lgs. 10 agosto 2018, n. 101[9], è stata riscritta completamente la disciplina dell’art. 132 del Codice della privacy, nell’ottica dell’attuazione della nuova disciplina europea in materia di protezione dei dati personali, disposta dal regolamento UE 2016/679 (GDPR)[10] e dalla direttiva UE 2016/680[11].

Attualmente, in Italia, il tempo di conservazione di tali informazioni è stimato dall’art. 132 del Codice della privacy in un anno per i dati relativi al traffico telematico, due anni per i dati relativi al traffico telefonico e trenta giorni per i dati relativi alle c.d. chiamate senza risposta. Oltre al fatto che tale tempistica appare anacronistica nell’epoca corrente, nella quale le comunicazioni telematiche hanno sopraffatto ormai da tempo quelle telefoniche, l’intervento della c.d. Legge europea 2017[12] ha amplificato le problematiche circa i tempi di conservazione dei dati esterni alle comunicazioni, introducendo l’obbligo, all’art. 24, di conservazione per sei anni dei dati necessari all’accertamento e della repressione dei reati di cui agli artt. 51, comma 3-quater e 407, comma 2, lettera a), del codice di procedura penale, ovvero principalmente dei reati con finalità terroristica. Quest’ultima norma svilisce, di fatto, la portata dell’art. 132 del Codice della privacy, poiché in questo modo si finisce per ricondurre il tempo di conservazione dei dati di traffico telefonico e telematico sempre alla disciplina di cui alla Legge europea 2017, considerando che i gestori dei servizi di connettività, nel momento in cui raccolgono i dati, non conoscono i reati per il cui accertamento tali informazioni potranno essere richieste dall’autorità giudiziaria. Tuttavia, va osservato che l’autorità giudiziaria, indipendentemente dalla prassi sviluppatasi, deve rispettare le scadenze riconducibili dalla normativa prevista per ogni tipologia di dato preso in considerazione e per ogni reato per il quale le informazioni vengono richieste. Dunque, per le fattispecie non riconducibili alla competenza della Legge europea 2017, la richiesta di esibizione dei metadati dovrà rispettare le scadenze di trenta giorni per le chiamate senza risposta, un anno per i dati relativi al traffico telematico e due anni per le informazioni circa il traffico telefonico, pena l’impossibilità di procedere o, eventualmente, l’inutilizzabilità dei dati esibiti.

2. Il potenziale della conservazione dei dati esterni alle comunicazioni tra vantaggi e criticità

La conservazione dei c.d. metadati, indipendentemente dall’esistenza di un procedimento penale pendente, facilita l’attività investigativa degli inquirenti. Le informazioni che possono essere ottenute ex post in virtù di questa memorizzazione preventiva sono di fondamentale ausilio per la prevenzione e la repressione dei reati. In particolare, specificatamente rispetto al traffico telematico, attraverso la collaborazione degli Internet Service Providers, gli inquirenti possono identificare un certo utente attivo in rete[13] e ricostruirne l’attività online[14]. Naturalmente, quando l’indagine riguarda illeciti commessi in rete da soggetti non identificati (pedopornografia online, truffe telematiche, diffamazione online, ecc.) i dati in esame rappresentano le prime informazioni indispensabili per l’attività d’indagine degli inquirenti finalizzata ad accertare i fatti. L’acquisizione di tali informazioni, dunque, è propedeutica ad ogni altro adempimento, ed è facilmente immaginabile come la mancanza di questi dati comprometterebbe ogni conseguente attività d’indagine.

Va posta, tuttavia, l’attenzione sulla relazione di diretta proporzionalità esistente tra la conservazione dei metadati ed il rischio di ledere alcuni diritti fondamentali degli utenti, come il diritto alla privacy. Evidentemente (ed inevitabilmente) sussiste un contrasto tra le esigenze di prevenzione e accertamento dei fatti e la necessità di tutelare la riservatezza degli utenti attivi in rete. In particolare, la data retention rappresenta una limitazione del diritto alla tutela della sfera privata e dei dati personali, garantiti rispettivamente dagli artt. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea. Infatti, seppure tale conservazione dei dati non riguarda il contenuto delle comunicazioni, i medesimi dati digitali esterni offrono informazioni sulla vita privata di una persona e il loro utilizzo può avere lo scopo di creare veri e propri profili della personalità dei soggetti, poiché i dati permettono di tracciare i movimenti degli utenti, ingerendo negli individui l’impressione di trovarsi in una società di matrice orwelliana[15]. Urge realizzare un compromesso tra le due opposte esigenze, entrambe meritevoli di attenzione. Un riferimento normativo a tali esigenze lo si ritrova nell’art. 52 c.1 della Carta dei Diritti Fondamentali dell’Unione Europea, secondo cui è richiesta una riserva di legge per giustificare l’ingerenza pubblica nella sfera privata, la quale deve in ogni caso rispettare il nucleo essenziale dei diritti coinvolti e deve comunque essere proporzionata all’obiettivo da raggiungere, che deve corrispondere all’attuazione di finalità di interesse generale riconosciute dall’Unione Europea o all’esigenza di proteggere diritti e libertà altrui[16].

3. Gli ultimi sviluppi in tema di data retention: l’orientamento della Corte di Giustizia Europea

In una sentenza del 6 ottobre 2020[17], la Corte di Giustizia Europea ha stabilito che, seppure per esigenze di pubblica sicurezza, non è ammessa la conservazione indiscriminata dei dati per un tempo indeterminato. La Corte ha, tuttavia, previsto alcune deroghe e l’indicazione di un limitato periodo di tempo in cui i dati possono essere conservati, corrispondente allo stretto periodo necessario da estendersi qualora persistano le esigenze investigative. Ciò significa che, qualora la sicurezza nazionale di uno Stato membro fosse in una situazione di pericolo autentico, presente o prevedibile, lo stesso Stato potrebbe operare una deroga all’obbligo di garantire la riservatezza dei dati circa le comunicazioni elettroniche, richiedendo la conservazione generalizzata di tali dati attraverso un formale atto legislativo, per un periodo limitato, che può essere esteso in caso di minaccia persistente. Nel caso in cui la minaccia riguardasse la criminalità e i reati gravi, lo Stato membro potrebbe disporre anche la conservazione mirata ed accelerata di tali dati. La Corte ha posto, inoltre, l’attenzione sul fondamentale fatto che tale interferenza con i diritti fondamentali deve necessariamente essere affiancata dal rispetto di garanzie efficaci ed esaminata o da un tribunale o da un’autorità amministrativa indipendente.

Come si è visto, ad oggi, il periodo di conservazione di tali dati in Italia si attesta a sei anni. Seppure la conservazione dei dati sia differenziata nei vari Paesi dell’Unione Europea, il caso italiano è unico al mondo, in un’ottica tutt’altro che positiva, poiché incompatibile con i valori europei[18]. Più tempo questi metadati vengono conservati nei server dei fornitori di servizi, maggiore sarà il rischio di data breach e dunque di violazione dei dati personali. Le minacce di attacchi informatici sono sempre maggiori e in questo modo si rischia di andare nella direzione opposta rispetto a quella di tutelare la privacy dei cittadini. Dunque, il percorso della Corte di Giustizia, improntato al rispetto del principio di proporzionalità e alle garanzie previste dalla CEDU, che rappresentano il primo riferimento essenziale da tenere in considerazione per la tutela degli individui, già nato con le note sentenze DigitalRights[19] e Tele2 Sverige[20], esclude che il trattamento dei c.d. metadati per finalità di pubblica sicurezza possa diventare una “zona franca” che finisca per eludere di fatto l’effettività della tutela della persona e della sua libertà, attraverso la protezione dei dati personali[21].

4. L’influenza dell’impostazione comunitaria nella prassi degli Stati membri

La sentenza della Corte di Giustizia Europea ha delle implicazioni notevoli sulla disciplina del Regno Unito in tema di data retention. Dopo il completamento della c.d. Brexit, infatti, la Gran Bretagna non potrà mantenere il flusso dei dati esistente in entrata e in uscita dall’Unione Europea, ma per farlo avrà bisogno di una autorizzazione mediante una decisione di adeguamento in tema di protezione dei dati personali ad opera della Commissione europea[22]. Anche per altri Stati membri la sentenza ha avuto un riscontro negativo, che necessita di un adeguamento nazionale. Secondo la Corte di Giustizia, infatti, le leggi nazionali in materia di privacy della Gran Bretagna sono incompatibili con le normative europee, ma ciò vale anche per la Francia ed il Belgio, espressamente menzionate nella sentenza, e, come si è visto, anche per l’Italia. In particolare, la Gran Bretagna dovrà fermare il flusso dei dati che confluiscono verso l’agenzia nazionale di Intelligence (GCHQ), in virtù delle previsioni di cui alla c.d. Snooper’s Charter, ossia la legge Investigatory Powers Act, considerata “legge-spia”, che richiede agli operatori di telefonia mobile ed agli Internet service providers di conservare i dati dei loro clienti per un anno, indipendentemente dalle necessità investigative. Tale legge autorizza la polizia giudiziaria ad esaminare, anche senza la necessità del previo mandato dell’autorità giudiziaria, i metadati sulle comunicazioni[23].

Inoltre, alcuni Paesi sono stati fortemente sanzionati di recente per aver violato la normativa sulla data retention: nel mese di agosto 2020, in Danimarca, il Datatilsynet, ovvero l’Autorità garante per la privacy, ha sanzionato la catena alberghiera Arp-Hansen per un valore di 148.000 €, a causa della violazione dei dati di 500.000 clienti che avevano soggiornato nelle strutture[24]. Nello specifico, la violazione ha riguardato il principio di limitazione di cui all’art. 5 c.1 lett. e) GDPR, il quale impone la conservazione dei dati in una forma che consente l’identificazione degli interessati per un periodo di tempo non superiore al conseguimento delle finalità per cui avviene il trattamento, specificando che la conservazione può protrarsi a condizione che i dati vengano trattati al solo fine di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, in conformità con l’art. 89 par. 1.[25] Nonostante la non conformità ai principi del GDPR, emerse nel corso di un audit interno convocato ad-hoc poco tempo prima, la società non aveva mai provveduto all’adeguamento delle politiche sulla privacy alla normativa europea e nazionale, soprattutto in tema di conservazione e cancellazione dei dati trattati, continuando invece a trattare i dati degli ospiti per un periodo di tempo superiore rispetto a quello consentito[26].

In Francia, Spartoo sas, società di vendita online, ha dovuto adeguarsi alla decisione dell’Autorità francese per la protezione dei dati personali[27] (CNIL), la quale all’inizio del mese di agosto 2020 l’ha sanzionata per un importo di 250.000 € e con la richiesta di adeguamento della normativa nazionale laddove non conforme al GDPR entro tre mesi dalla data di notifica del provvedimento. Il Garante francese, infatti, ha evidenziato la violazione di alcuni principi cardine della tutela dei dati personali disposti dal GDPR, come i principi di minimizzazione e di limitazione e l’obbligo di informazione, di cui all’art. 13 Reg. (UE) 2016/679[28]. Nel caso di specie, l’Autorità ha ritenuto determinate condotte eccessive ed inammissibili, come la registrazione perenne delle telefonate con i dipendenti del servizio clienti, la registrazione delle coordinate bancarie dei clienti e la raccolta dei dati delle tessere sanitarie dei clienti, al fine di formare i dipendenti e prevenire le frodi. Ciò è in evidente contrasto con il principio di minimizzazione disposto dal GDPR, considerando inoltre che tali dati venivano conservati per un tempo indeterminato. Sul tema, la CNIL ha ritenuto che la conservazione di tali di nomi e password in forma non anonima[29] sia eccedente e non compliant se per un periodo superiore a cinque anni.

Per le stesse ragioni, anche una società immobiliare in Germania (Deutsche Wohnen) è stata sanzionata dalla Berliner Beauftragte für Datenschutz und Informationsfreiheit (Berlin DPA), ossia l’Autorità garante tedesca per la protezione dei dati personali, per una somma di oltre 14 milioni di euro[30]. Nel caso di specie, nonostante un primo avvertimento risalente al 2017, il trattamento dei dati degli interessati, che in questo caso erano gli inquilini di un appartamento, continuava ad essere privo di una specifica procedura di conservazione e cancellazione, conformemente alla nuova normativa sulla privacy. La conseguenza di ciò era che in tal modo diventava possibile accedere ai dati personali anche dopo molto tempo dal raggiungimento delle finalità per cui questi erano stati inizialmente raccolti. L’Autorità tedesca per la protezione dei dati, con tale decisione, ha evidenziato la necessità di rispettare, nello specifico, il principio di limitazione della conservazione dei dati e l’obbligo di predisporre sistemi di archiviazione in grado di stabilire il ciclo della vita dei dati, permettendo la cancellazione degli stessi al termine del periodo di conservazione.

Il caso più recente in materia, del 28 agosto 2020, si è verificato in Spagna, dove il Garante spagnolo (AEPD) ha disposto un provvedimento con il quale ha inflitto all’istituto di credito Bankia S.A. una sanzione di 50.000 € per la violazione del principio di cui all’art. 5 GDPR[31]. Il caso è scaturito con una vicenda piuttosto singolare: un interessato si è recato presso l’istituto finanziario per l’apertura di un conto corrente, ma durante la procedura l’impiegato sportellista gli ha comunicato che nella memoria di sistema che stava visualizzando sul computer, era presente il suo vecchio indirizzo di residenza, risalente al 2002, nonostante il soggetto avesse cessato di essere correntista ben oltre sedici anni prima. L’istituto finanziario, a seguito del reclamo da parte del Garante spagnolo, ha sostenuto di non aver violato le norme in tema di privacy e data retention, poiché i dati del denunciante erano già stati bloccati in conformità con l’art. 32[32] della Legge nazionale sulla protezione dei dati personali (LOPD). Nonostante ciò, il Garante ha ritenuto che l’istituto finanziario non avesse applicato correttamente la normativa nazionale, al cui secondo comma è espressamente prevista la necessaria adozione di tutte le misure tecniche ed organizzative idonee ad impedire il trattamento, mentre nel caso in esame tali dati risultavano, seppure presumibilmente bloccati, accessibili ai dipendenti dell’istituto, mentre non dovevano neanche essere visualizzabili. Per concludere, è interessante osservare come, nella fattispecie in esame, il Garante abbia contestato all’istituto finanziario la violazione dell’art. 5 c.1 lett. b) GDPR, e non l’art. 5 c.1 lett. e), apparentemente più adatto alla questione, finendo per punire, in questo modo, la violazione del principio di finalità del trattamento, e non della limitazione della durata del periodo di conservazione.

5. Conclusione: l’impatto sociale della conservazione dei metadati nel tempo e prospettive di sviluppo future

In conclusione, si ritiene utile fare alcune riflessioni di carattere sociale che hanno inevitabilmente delle implicazioni sul tema trattato. Come si è visto, il sempre più dirompente progresso tecnologico e la possibilità che comporta di elaborare ed aggregare sempre più dati tra loro, hanno reso possibile mappare le abitudini, i gusti e i vari orientamenti della personalità degli individui, al punto da rendere possibile una sorta di globale controllo orwelliano[33]. Ciò rischia di sfociare in una progressiva reificazione della persona, la quale si identifica così nell’insieme dei dati disponibili da commercializzare o, almeno, utilizzare, finendo per allontanarsi in toto dal nucleo identificativo della propria personalità. Dunque, va osservato attentamente l’impatto che le modalità del trattamento dei dati personali possono avere sui diritti fondamentali della persona, considerando la molteplicità dei diritti coinvolti. D’altra parte, va considerato anche il potenziale grado della lesione che ogni diritto può subire nel caso di specie. Il trattamento dei dati personali potrebbe realmente trasformarsi in uno strumento di dominio e controllo. È proprio questa ragione che evidenzia, anche e soprattutto a livello normativo, come il trattamento «dovrebbe essere al servizio dell’uomo»[34]. Occorre, dunque, operare un difficile bilanciamento tra la necessità di effettuare il trattamento dei dati personali per esigenze investigative e i diritti che progressivamente vengono in rilievo, riflettendo soprattutto sul contrasto tra il diritto alla data protection e le esigenze di pubblica sicurezza, anche in considerazione dell’orientamento della Corte di Giustizia Europea nei confronti della direttiva 2006/24/CE[35], dichiarata invalida a causa della sua violazione verso il principio di proporzionalità, nell’ottica di bilanciare tali fattori[36].

Appare, dunque, lampante che l’attuale prassi italiana sia in contrasto con la visione di matrice europea prevalente, che afferma la necessità di rispettare tempi di conservazione il più possibile ridotti. Il diritto alla riservatezza, seppure sia un diritto fondamentale, va però contemperato con altre esigenze da garantire altrettanto al massimo grado, come l’accertamento dei reati[37] ed il diritto alla difesa, poiché tali dati esterni alle comunicazioni, come tabulati telefonici e indirizzi IP, possono essere utilizzati anche per scagionare gli indagati. In questa cornice, la disciplina della data retention rappresenta ancora oggi un problema. Considerando le due realtà, la prima investigativa e la seconda difensiva, ogni possibile riforma dovrebbe auspicabilmente assicurare la conservazione almeno per tre anni e per non oltre sei anni; tuttavia, individuare un tempo ideale di conservazione non è semplice e guardando al panorama europeo attuale sul tema, ciò risulta evidente[38].

[1] Il tema è assai ampio e l’articolo ha l’obiettivo di riflettere sugli sviluppi più recenti. Per un’analisi generale si veda M.C. Falchi, “Data Retention: tra esigenze di sicurezza e tutela della privacy”, in Ius In Itinere, 5 agosto 2020, reperibile al sito: https://www.iusinitinere.it/data-retention-tra-esigenze-di-sicurezza-e-tutela-della-privacy-30015.

[2] M. Torre, Indagini informatiche e processo penale, 2016, reperibile al sito: https://flore.unifi.it/retrieve/handle/2158/1028650/114466/Tesi%20completa.pdf.

[3] Si veda il par. 4 della direttiva 2006/24/CE, reperibile al sito: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32006L0024&rid=1.

[4] Una parte della dottrina ha evidenziato come gli sviluppi tecnologici abbiano complicato la distinzione tra dati comunicativi e non comunicativi. Sul punto, tra gli altri, L. Bachmaier Winter, “Criminal investiagation and right of privacy: the case-law of the European Court of Human Rights and its limits”, in Lex ET Scientia, Juridical Series, Vol. 2, 2009, reperibile al sito: https://www.researchgate.net/publication/41560342_CRIMINAL_INVESTIGATION_AND_RIGHT_OF_PRIVACY_THE_CASE-LAW_OF_THE_EUROPEAN_COURT_OF_HUMAN_RIGHTS_AND_ITS_LIMITS.

[5] Concretamente, il risultato del tracing è un indirizzo IP (Internet Protocol) di connessione dell’hardware da cui si suppone che sia nata la condotta che costituisce reato o che serva all’accertamento dei fatti, cioè un numero telefonico relativo alla richiesta connessione. La definizione di indirizzo IP è ubicata nell’art. 1 lett. g) del d. lgs 109/2008 (reperibile al sito: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1607282). Si tratta di un numero che identifica in modo univoco i dispositivi collegati ad una rete informatica che utilizza lo standard IP. Ogni dispositivo, quindi, è dotato di un proprio indirizzo IP che, in termini semplificati, può essere considerato come il numero di telefono dei dispositivi che sono collegati ad Internet. Infatti, come un certo numero telefonico identifica una certa linea telefonica, allo stesso modo un indirizzo IP identifica uno specifico dispositivo di rete o una rete. F. Cajani, “Internet protocol. Questioni operative in tema di investigazioni penali e riservatezza”, in Dir. Internet, 2008.

[6] La direttiva 2006/24/CE (reperibile al sito: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32006L0024&rid=1), emanata del Parlamento Europeo e del Consiglio Europeo del 15 marzo 2006, sulla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, di modifica alla direttiva 2002/58/CE, reperibile al sito: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX%3A32002L0058.

[7] G.U. 29 luglio 2003, reperibile al sito: https://www.camera.it/parlam/leggi/deleghe/Testi/03196dl.htm.

[8] Cfr. A. Stracuzzi, “Data retention: il faticoso percorso dell’art. 132 Codice privacy nella disciplina della conservazione dei dati digitali,” in Dir. inf., 2008; S. Signorato, “Novità in tema di data retention. La riformulazione dell’art. 132 codice privacy da parte del d.lgs. 10 agosto 2018, n. 101”, in Diritto penale contemporaneo, 28 novembre 2018, reperibile al sito: .

[9] G.U. 04 settembre 2018, n. 205, reperibile al sito: https://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg.

[10] Per approfondire gli atti normativi dell’Unione europea e la efficacia si veda R.E. Kostoris, “Diritto europeo e giustizia penale”, in Manuale di procedura penale Europea (a cura di R.E. Kostoris), III ed., 2017.

[11] Anche se espressamente il decreto si riferisce solo alle disposizioni del regolamento (UE) 2016/679, esso fornisce attuazione anche alla direttiva 2016/680 (reperibile al sito: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016L0680), oltretutto già attuata dal d.lgs. 18 maggio 2018, n. 51, reperibile al sito: https://www.gazzettaufficiale.it/eli/id/2018/05/24/18G00080/sg (recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio). Sul tema del trattamento dei dati personali da parte delle forze di polizia, si veda inoltre il d.p.r. 15 gennaio 2018, n. 15, reperibile al sito: https://www.gazzettaufficiale.it/eli/id/2018/3/14/18G00040/sg, e recante l’individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per finalità di polizia, da organi, uffici e comandi di polizia. Cfr. S. Signorato, “Il trattamento dei dati da parte delle forze di polizia: la nuova disciplina prevista dall’art. 53 codice privacy e gli scenari europei”, in Il nuovo ‘pacchetto’ antiterrorismo (a cura di R.E. Kostoris, F. Viganò), 2015.

[12] Si tratta delle Legge europea n. 167 del 20 novembre 2017, reperibile al link: https://www.gazzettaufficiale.it/eli/id/2017/11/27/17G00180/sg.

[13] Ciò accade attraverso l’indirizzo IP, ovvero quel numero che identifica un dispositivo collegato ad una rete telematica, come se fosse un indirizzo stradale o un numero telefonico. Infatti, il fornitore dei servizi di connettività, attraverso l’indirizzo IP e l’ora di accesso al dispositivo, può avere accesso a dati personali di chi ha sottoscritto il contratto per usufruire dei servizi di connessione.

[14] Ciò accade mediante i c.d. file di log, ossia quei files in grado di memorizzare le attività svolte dall’utente nel computer o all’interno della rete.

[15] Così F. Iovene, “Data retention tra passato e futuro. Ma quale presente?”, in Cass. pen., 2014, che richiama in nota n.1 la sentenza tedesca: BVerfG, 2 marzo 2010, 1BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, reperibile al sito www.bundesverfassungsgericht.de.

[16] M. Torre, Indagini informatiche e processo penale, cit.

[17] Court de justice del’Union européenne, Communique de presse n. 127/20, Judgments in Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others, 6 ottobre 2020, reperibile al sito: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-10/cp200127fr.pdf.

[18] In generale, la conservazione dei dati per ragioni di sicurezza è applicata in modo differenziato nei vari Paesi. In Russia il periodo di data retention arriva fino a 6 mesi; in Francia a 12 mesi. In Germania i dati sul traffico telefonico e la navigazione in Internet vengono conservati per 10 settimane, mentre quelli sulla geolocalizzazione vengono cancellati dopo 4 settimane. In Belgio il periodo di conservazione può variare da 6 a 9 mesi, in base alla gravità dei reati riscontrabili, esattamente come in Spagna, in cui la conservazione in via generale è fissata a 12 mesi, che possono essere ridotti a 6 mesi o estesi a 2 anni, a seconda dei reati. In Australia i dati relativi sia al traffico telefonico che telematico è fissato a 2 anni. Negli Stati Uniti la questione è particolarmente problematica: la National Secury Agency conserva, per prassi, i metadati del traffico telematico dell’intero pianeta per un anno. Da questo quadro generale, descritto sommariamente, emergono due anomalie in particolare, circa la questione nel piano internazionale: la Russia conserva anche tutti i contenuti del traffico telefonico e telematico e gli Usa tendono prevedibilmente ad andare oltre la soglia dei metadati, in casi di sicurezza nazionale, a cui tutti gli altri Paesi europei si limitano.

[19] Corte di Giustizia Europea, Grande Sezione, 8 aprile 2014, Digital Rights Ireland Ltd c. Minister for Communications, Marine and Natural Resources e a. e Kärntner Landesregierung e a., Cause riunite C‑293/12 e C‑594/12.

[20] Corte di Giustizia Europea, Grande Sezione, 21 dicembre 2016, Tele2 Sverige AB contro Post- och telestyrelsen e Secretary of State for the Home Department contro Tom Watson e a.

[21] Così il Garante per la protezione dei dati personali, “Data retention: garante privacy su sentenza Corte di giustizia UE”, parere del 6 ottobre 2020, reperibile al sito: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9464165.

[22] Il problema del flusso dei dati dal Regno Unite verso altre direzioni dopo la Brexit è molto complesso ed attualmente ancora in forte discussione. Per una scansione degli aggiornamenti fino al 19 ottobre 2020 sulla situazione in esame si veda “Data protection, data flows, data adequacy, and Brexit, in After Brexit. Tech policy throughout the Brexit process”, reperibile al sito: https://afterbrexit.tech/data-protection/.

[23] UK Parliament, “Investigatory Powers Bill — Schedule 4 — Relevant public authorities and designated senior officers”, reperibile al sito: https://www.legislation.gov.uk/ukdsi/2020/9780111195499.

[24] Datatilsynet, “Arp-Hansen Hotel Group A/S indstilles til bøde”, in .

[25] Sul punto, si veda il Considerando 39 del GDPR (reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento), il quale specifica che “i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati.

[26]Denmark: Datatilsynet recommends DKK 1.1M fine and reports Arp-Hansen to police for failure to delete personal data”, in Dataguidance, reperibile al sito: https://www.dataguidance.com/news/denmark-datatilsynet-recommends-dkk-11m-fine-and-reports-arp-hansen-police-failure-delete.

[27] Commission Nationale de l’Informatique et des Libertés, “Délibération SAN-2020-003 du 28 juillet 2020”, in Lègifrance, 5 agosto 2020, reperibile al sito: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042203965/.

[28] La CNIL ha, infatti, ritenuto che i clienti e i dipendenti non avessero le giuste informazioni circa le basi giuridiche del trattamento dei dati personali e che non fossero state utilizzate password sufficientemente sicure per accedere ai conti dei clienti.

[29] Ciò per consentire ai clienti di utilizzare nuovamente il proprio conto corrente.

[30] Per seguire la vicenda si vedano gli atti dell’Autorità garante tedesca (Berlin DPA) in https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen/.

[31] EDPB, “Berlin Commissioner for Data Protection Imposes Fine on Real Estate Company”, reperibile al sito: .

[32] Secondo cui il responsabile del trattamento è tenuto a bloccare i dati in caso di richiesta di rettifica o cancellazione dei dati.

[33] Così S. Signorato, “Novità in tema di data retention”, in Diritto penale contemporaneo, 28 novembre 2018, reperibile al sito: .

[34] Cfr. Considerando n. 4, Regolamento (UE) 2016/679, reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento. A livello lessicale, sarebbe stato più adeguato utilizzare l’indicativo “deve”, considerando che in gioco c’è lo sviluppo dell’identità e della libertà della persona in alcune significative forme d’espressione.

[35] Per un’analisi critica di tale direttiva si veda C. Conti, “L’attuazione della direttiva Frattini: un bilanciamento insoddisfacente tra riservatezza e diritto alla prova”, in Le nuove norme sulla sicurezza pubblica (a cura di S. Lorusso), 2008.

[36] Cfr. C. Giust., Grande Sezione, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Right Ireland Ltd c. Minister for Communications, Marine and Natural Resources, reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento. Sul tema del bilanciamento tra esigenze investigative e tutela della riservatezza si veda anche C. Giust., Grande Sezione, 21 dicembre 2016, cause riunite C-203/15 e C-698/15, Tele2 Sverige AB c. Post- och telestyrelsen e a., reperibile al sito: http://curia.europa.eu/juris/liste.jsf?num=C-203/15&language=it.

[37] Un esempio per capire al meglio la questione è il riferimento al c.d. caso D’Antona, nel quale i dati acquisiti secondo tempistiche di conservazione all’epoca lecite, ma che ad oggi esonderebbero rispetto a quelle previste dall’art. 132 codice privacy, hanno assunto valore probatorio ai fini dell’accertamento dei fatti. Sul punto V. Rizzi, N. Gallo, A. Marotta, “L’impronta telefonica. La ricostruzione di un attentato terroristico attraverso l’analisi dei contatti telefonici”, in Dai «casi freddi» ai «casi caldi». Le indagini storico e forensi fra saperi giuridici e investigazioni scientifiche (a cura di M. Andretta, D. Fondaroli, G. Gruppioni), 2014.

[38] R. Orlandi, “Questioni attuali in tema di processo penale e informatica”, in Riv. dir. proc., 27 febbraio 2009. Si vedano le riflessioni dell’autore sul rischio di possibili abusi, come dimostrato dal c.d. scandalo Telecom.

Francesca Bucci

Praticante avvocato presso l'Istituto Nazionale della Previdenza Sociale; appassionata di diritto e nuove tecnologie, in particolare delle problematiche giuridiche sollevate dall'utilizzo di algoritmi nell'ottica della prevenzione e repressione dei reati, collabora con l'area IP & IT.

Lascia un commento