Data Retention: tra esigenze di sicurezza e tutela della privacy
a cura di Maria Caterina Falchi
La disciplina della c.d. data retention, è ad oggi uno dei terreni più scivolosi in cui è necessario operare un delicatissimo bilanciamento tra esigenze di sicurezza da un lato, e protezione della privacy degli individui dall’altro.
Data retention: cos’è?
Per data retention si intende il periodo di conservazione dei dati relativi al traffico, non al contenuto, delle comunicazioni tra utenti.
La materia era in passato disciplinata, a livello sovranazionale, dalla Direttiva 2006/24/CE emanata dal Parlamento e dal Consiglio Europeo in data 15 marzo 2006.
La Direttiva aveva l’obiettivo di “armonizzare le disposizioni degli Stati membri relative agli obblighi, per fornitori di servizi di comunicazione elettronica accessibili al pubblico […] relativi alla conservazione di determinati dati da essi generati e trattati, allo scopo di garantirne la disponibilità ai fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale”.[1]
All’articolo 2 si precisava che la stessa avrebbe trovato applicazione solo in materia di dati relativi al traffico e all’ubicazione delle persone, e non anche in relazione ai contenuti delle comunicazioni elettroniche.
Ma cosa si intende per dati relativi al traffico?
A spiegarlo è l’art. 5 della Direttiva medesima (riassunto di seguito) che presenta un elenco di 6 categorie di dati da conservare:
A) Dati necessari per rintracciare e identificare la fonte di una comunicazione:
- Numero di telefono del chiamante;
- Identificativo dell’utente;
- Indirizzo IP.
B) Dati necessari per rintracciare e identificare la destinazione di una comunicazione:
- Numero di telefono e identificativo dell’utente presunto destinatario;
C) Dati necessari per determinare la data, l’ora e la durata di una comunicazione:
- Data e ora di inizio e fine della comunicazione;
- Data e ora del log-in e del log-off del servizio di accesso internet;
- Data e ora del log-in e del log-off del servizio di posta elettronica o del servizio di telefonia via Internet.
D) Dati necessari per determinare il tipo di comunicazione
- Servizio telefonico utilizzato;
- Servizio di posta elettronica o di telefonia via internet utilizzato.
E) Dati necessari per determinare le attrezzature di comunicazione degli utenti:
- IMSI (International Mobile Subscriber Identity) del chiamato e del chiamante. L’IMSI identifica la SIM e l’operatore telefonico;
- IMEI (International Mobile Equipment Identity) del chiamante e del chiamato. L’IMEI identifica in maniera univoca un device mobile;
- Nel caso di servizi prepagati anonimi, la data e l’ora dell’attivazione iniziale della carta e l’etichetta di ubicazione (Cell-ID) dalla quale è stata effettuata l’attivazione.
F) Dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile:
- Etichetta di ubicazione (Cell-ID) all’inizio della comunicazione;
- Dati per identificare l’ubicazione geografica delle cellule facendo riferimento alle loro etichette di ubicazione.
Tutto quanto premesso, è ben evidente che, malgrado la conservazione dei contenuti delle comunicazioni possa essere ritenuta certamente più invasiva, non può tuttavia dirsi che la conservazione di dati relativi al traffico non comporti parimenti un’intrusione nella privacy degli individui. Si rifletta, a mero scopo esemplificativo, sul punto F) dunque sulla conservazione dei dati utili a determinare l’ubicazione del telefono e dunque presumibilmente del soggetto, o al punto B) concernente i dati per identificare la persona con cui il soggetto sta comunicando. Mediante i soli dati di traffico è possibile ricostruire le “abitudini” di un dato individuo e dunque, potenzialmente, esercitare un controllo di massa sui cittadini.
Tutto ciò è stato riconosciuto anche dalla Grande Sezione della Corte di Giustizia che con la decisione Digital Rights Ireland dell’8 aprile 2014, ha dichiarato l’invalidità della Direttiva 2006/24/CE. [2]
Innanzitutto, la Corte, contrariamente a quanto comunemente ritenuto, ha affermato che i dati di cui al già menzionato art.5, in quanto idonei a fornire precise indicazioni sulla vita privata e sulle abitudini degli individui, costituiscono una ingerenza nella privacy dei soggetti, in contrasto con quanto previsto agli articoli 7 [3] e 8 [4] della Carta dei diritti fondamentali dell’Unione Europea.
Non solo. Pur ammettendo la Corte che la conservazione dei dati di traffico prevista dalla Direttiva, avrebbe potuto effettivamente costituire un utile strumento ai fini del contrasto alla criminalità, la vaghezza e genericità che caratterizzavano le disposizioni della Direttiva medesima, (si pensi alla generica definizione di “gravi reati” di cui all’art. 1 della Direttiva) si ponevano in contrasto col principio di proporzionalità cui all’art. 52 par. 1 della Carta dei diritti Fondamentali dell’Unione, sulla base del quale “Eventuali limitazioni dei diritti e delle libertà […] possono essere apportate solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.
La Corte ha rilevato poi la completa mancanza, nella Direttiva, di presupposti sia materiali che procedurali sulla base dei quali le autorità competenti avrebbero potuto ottenere l’accesso ai dati di traffico e farne uso in un momento successivo.
Infine, la Direttiva, nello specificare all’art.6 che la conservazione dei dati non avrebbe dovuto avere una durata inferiore a 6 mesi, non ha chiarito tuttavia un limite massimo, oltre il quale i suddetti dati avrebbero dovuto essere cancellati da parte dei service provider.
In conclusione, la Corte, alla luce delle criticità sinteticamente esposte poc’anzi ed in ossequio ai principi stabiliti nella Carta dei diritti fondamentali dell’Unione ha ritenuto di dover invalidare la Dir. 2006/24/CE.
Attualmente, dunque, la Direttiva applicabile in materia è la Dir. 2002/58/CE del 12 luglio 2002 (Direttiva ePrivacy) “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni”.
La disciplina nazionale
Nel nostro paese viene emanato con Decreto Legislativo 30 giugno 2003, n. 196 il Codice in materia di protezione di dati personali, meglio noto come Codice della privacy.
L’articolo 132 del Codice della Privacy contiene alcune importanti disposizioni in materia di “Conservazione di dati di traffico per altre finalità” e specifica i termini di conservazione degli stessi.
In particolare, si sancisce che i dati relativi al traffico debbano essere conservati, per finalità di accertamento e repressione dei reati, per:
- 24 mesi se si tratta di dati di traffico telefonico;
- 12 mesi se si tratta di dati di traffico telematico;
- 30 giorni se si tratta di chiamate senza risposta.
Si noti come oggi, alla luce dell’evoluzione tecnologica che ha evidentemente investito e coinvolto la nostra quotidianità e gli strumenti di comunicazione, la disciplina suddetta possa risultare in buona parte “inadeguata”, visto che, come sottolineato dalla Prof.ssa Silvia Signorato “appare del tutto irragionevole che i dati di traffico telematico debbano essere conservati per una tempistica dalla durata dimidiata rispetto a quella dei dati di traffico telefonico.” [5]
Ciò detto è opportuno rilevare come, con d.lgs. 10 agosto 2018 n.101, sia stato introdotto all’interno dell’art.132 Codice della Privacy, il comma 5-bis che contiene un rinvio all’art. 24 della Legge 20 novembre 2017 n. 167 (Legge Europea) di adeguamento della disciplina nazionale alla Direttiva 2017/541 sulla lotta al terrorismo.
All’art. 24 Legge Europea, si sancisce che “per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale il termine di conservazione dei dati di traffico telefonico e telematico nonché’ dei dati relativi alle chiamate senza risposta, […], è stabilito in settantadue mesi, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del codice in materia di protezione dei dati personali,[…]”.
In sostanza, dunque, con la Legge Europea 2017, è stato previsto un periodo di conservazione dei dati di 72 mesi (6 anni) per un cospicuo numero di reati che non si riduce alle sole ipotesi di delitti tentati e consumati di terrorismo, ma che comprende anche i delitti contemplati all’art. 407 comma 2 lett. a) c.p.p.
Anche in considerazione del consistente numero di reati richiamati all’art. 24 della Legge Europea, non può che sorgere il dubbio sul termine effettivo di conservazione dei dati che i service provider sono tenuti a rispettare. È ben evidente infatti che, il fornitore, presso cui ricade l’obbligo di conservazione dei dati di traffico, non possa sapere o prevedere ex ante se quei dati gli verranno mai richiesti dall’ autorità giudiziaria, né per quale tipologia di reato.
L’inevitabile conseguenza è quella di imporre indirettamente ai service provider la conservazione di tutti i dati di traffico per un periodo di 72 mesi. Il dispositivo di cui all’art. 24 si applica infatti, come espressamente specificato, ai dati di traffico telefonico, telematico e alle chiamate senza risposta.
Inoltre, malgrado la disciplina in esame di ponga in deroga rispetto quella prevista dall’art.132 commi 1 e 1-bis, nei fatti così non è, visto che come appena rilevato, i fornitori sono tenuti a conservare i dati di traffico per sei anni, per tutti i tipi di reato.
In sostanza, quella che si presentava come una disciplina emergenziale e dunque derogatoria, assume i caratteri dell’ordinarietà, facendo perdere, sotto questo aspetto, qualsiasi operatività all’art. 132 co. 1 e 1-bis.
Come tuttavia rilevato dalla su menzionata Prof.ssa Signorato la disciplina prevista dall’art. 131 co. 1 e 1-bis, mantiene operatività sotto un altro aspetto: “[…] occorre ricordare che nel momento della trasmissione dei dati all’autorità giudiziaria il fornitore è obbligato a verificare che gli stessi siano riconducibili al periodo di conservazione che, a seconda del tipo di reato perseguito, risulta fissato dall’art. 132 comma 1 ed 1 bis codice privacy o dalla legge europea 2017. Se, ad esempio, un dato da conservarsi per ventiquattro mesi […] fosse richiesto dopo ventiquattro mesi ed un giorno sarebbero illegittime tanto la sua trasmissione quanto la sua acquisizione da parte dell’autorità giudiziaria. In definitiva, -rileva ancora- un conto è la tempistica di conservazione che tende ad assestarsi in settantadue mesi, altro conto è invece la tempistica che rende legittimamente trasmissibili all’autorità giudiziaria e legittimamente acquisibili dalla stessa i dati conservati all’interno di un determinato arco temporale.“
Conclusioni
Come anticipato, la regolamentazione della data retention costituisce un terreno minato in cui è estremamente complicato operare un bilanciamento tra esigenze di sicurezza e di lotta a gravissimi reati, e tutela della privacy dei cittadini.
Non si può tuttavia sottacere che la disciplina prevista a livello nazionale si ponga in contrasto con tutti gli orientamenti della Corte di Giustizia Europea, la quale ha sottolineato come “l’obbligo imposto ai fornitori di servizi di comunicazione elettronica, in forza di una normativa nazionale […], di conservare i dati relativi al traffico ai fini di renderli, se del caso, accessibili alle autorità nazionali competenti solleva questioni riguardanti il rispetto non soltanto degli articoli 7 e 8 della Carta, […] ma anche della libertà di espressione garantita dall’articolo 11 della Carta stessa” e ancora che “anche se l’efficacia della lotta contro la criminalità grave, e in particolare contro la criminalità organizzata e il terrorismo, può dipendere in larga misura dall’utilizzo delle moderne tecniche di indagine, un siffatto obiettivo di interesse generale, per quanto fondamentale esso sia, non vale di per sé solo a giustificare che una normativa nazionale che prevede la conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione venga considerata necessaria ai fini della lotta suddetta“. [6]
Non possono in conclusione, che condividersi le parole dell’ormai ex- Garante Privacy Antonello Soro, il quale, in tema di data retention, ha auspicato la definizione di una disciplina “più organica e meno estemporanea per una materia così ricca di implicazioni sui diritti dei cittadini e sulle esigenze di giustizia”.[7]
[1] Art.1, Dir. 26/24/CE, disponibile qui: https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:IT:PDF
[2] Corte di Giustizia UE (Grande Sezione), Sent. 8. 4. 2014, disponibile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:62012CJ0293&from=IT
[3] Art. 7, Carta dei diritti fondamentali dell’Unione Europea, “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni” disponibile qui: https://www.europarl.europa.eu/charter/pdf/text_it.pdf
[4] Art.8, Carta dei diritti fondamentali dell’Unione Europea, “1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.3. Il rispetto di tali regole Ë soggetto al controllo di un’autorità indipendente.” disponibile qui: https://www.europarl.europa.eu/charter/pdf/text_it.pdf
[5] S. Signorato, “Novità in tema di data retention. La riformulazione dell’art.132 Codice Privacy da parte del d.lgs. 10 agosto 2018, n. 101”, novembre 2018, disponibile qui: .
[6] Corte di Giustizia UE (Grande Sezione), Sent. 21. 12.2016, disponibile qui: http://curia.europa.eu/juris/document/document.jsf?text=&docid=186492&pageIndex=0&doclang=it&mode=req&dir=&occ=first&part=1&cid=96252
[7] A. Soro, intervista Agi, 25 luglio 2017, disponibile qui: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/6651715.