Il “Data Protection Working Party” e la questione della conservazione dei dati di traffico.

Il “Data Protection Working Party” e la questione della conservazione dei dati di traffico.

di Giancarlo Barbon

***

Imporre ai providers la conservazione preventiva di tutti i dati di traffico (telefonico, Internet, di posta elettronica) è contrario alla Convenzione europea dei diritti umani. E questo a prescindere dal fatto che i dati sul traffico telefonico, Internet o di posta elettronica, siano stati richiesti per concrete esigenze di indagini giudiziarie e di polizia. CosÏ si Ë espresso recentemente il Gruppo di Lavoro europeo sulla protezione dei dati personali ( “ARTICLE 29 Data Protection Working Party”) con Parere n.9/2004 adottato il 9 Novembre 2004.

Il Parere rappresenta una ferma risposta alla proposta di decisione-quadro del Consiglio Ue presentata da quattro Paesi europei (Francia, Irlanda, Regno Unito, Svezia – doc. 8958/04 del 28 aprile 2004), volta ad obbligare i providers dei Paesi europei a conservare, per un periodo che varia dai 12 ai 36 mesi, tutti i dati di traffico e localizzazione utilizzati per fornire servizi di comunicazione (servizi di telefonia, compresi SMS e MMS, servizi internet, posta elettronica, voice-over-IP, FTP, servizi su banda larga), a prescindere dal fatto che ne sia stata richiesta copia a fini di prevenzione, indagini, accertamento e perseguimento di reati. I dati in questione sono quelli necessari ad identificare la fonte e la destinazione di una comunicazione, i servizi usufruiti, líora e la durata di una comunicazione, il tipo di comunicazione, líapparecchiatura utilizzata e la localizzazione della comunicazione.

Il Data Protection Working Party mantiene dunque, in tema di conservazione dei dati relativi al traffico, una posizione irremovibile su alcuni principi fondamentali gi‡ richiamati alcuni anni fa in occasione delle Conferenze tenutesi a Stoccolma (aprile 2000) e ad Atene (maggio 2001) e ribaditi in diverse altre occasioni. Nelle Conferenze di Stoccolma ed Atene il Gruppo di lavoro aveva precisato che la conservazione dei dati relativi al traffico per un periodo lungo (ìdi un anno o pi˘î), allo scopo di consentire líeventuale accesso da parte delle forze dellíordine e degli organismi preposti alla sicurezza, costituirebbe uníindebita compressione dei diritti fondamentali garantiti ai singoli dallíart. 8 della Convenzione europea sui diritti dellíuomo, cosÏ come ulteriormente sviluppati nella giurisprudenza della Corte europea dei diritti dellíuomo, oltre che degli articoli 7 e 8 della Carta dei diritti fondamentali dellíUnione Europea.

In una Dichiarazione dei Commissari europei per la protezione dei dati alla conferenza internazionale di Cardiff (9-11 settembre 2002), approvata dal Data Protection Working Party con Parere n.5/2002, era stato precisato sul punto che ìla conservazione dei dati di traffico per scopi connessi allíattivit‡ delle forze dellíordine dovrebbe essere conforme alle rigide condizioni previste dallíart.15 (1) della Direttiva ñ ossia, caso per caso, solo per un periodo limitato e purchË necessaria, opportuna e proporzionata allíinterno di una societ‡ democratica. Pertanto, qualora sia necessario, in casi specifici, conservare dati di traffico, deve sussistere uníesigenza dimostrabile, il periodo di conservazione deve essere quanto pi˘ breve possibile e le relative modalit‡ devono essere disciplinate con chiarezza attraverso disposizioni di legge, in modo da offrire garanzie sufficienti contro accessi non autorizzati ed ogni altro tipo di abuso. La conservazione sistematica di dati di traffico delle pi˘ svariate tipologie per un periodo di un anno o anche maggiore sarebbe evidentemente sproporzionata e, quindi, in ogni caso inaccettabileî. Tale Dichiarazione dava man forte ai principi stabiliti nella Direttiva 2002/58/CE, in materia di trattamento dei dati relativi al traffico (definiti allíart. 2 come ìqualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazioneî).

Peraltro il ventiseiesimo considerando della Direttiva 2002/58/CE, con riguardo ai dati relativi al traffico nelle reti di comunicazione elettronica, forniva un ausilio interpretativo sulla questione, disponendo che tali dati ìpossono essere memorizzati solo nella misura necessaria per la fornitura del servizio ai fini della fatturazione e del pagamento per líinterconnessione, nonchÈ per un periodo di tempo limitatoî e che ì qualsiasi ulteriore trattamento di tali dati che il fornitore dei servizi di comunicazione elettronica accessibili al pubblico volesse effettuare per la commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto puÚ essere autorizzato soltanto se líabbonato abbia espresso il proprio consenso in base ad informazioni esaurienti ed accurate date dal fornitore dei servizi di comunicazione elettronica accessibili al pubblico circa la natura dei successivi trattamenti che egli intende effettuare e circa il diritto dellíabbonato di non dare o di revocare il proprio consenso al trattamentoî.

Mentre la stessa Direttiva, all’art. 15, invitava gli Stati membri ad adottare disposizioni volte a limitare i diritti e gli obblighi inerenti al trattamento dei dati relativi al traffico ìqualora tale restrizione costituisca, ai sensi dellíart. 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata allíinterno di una societ‡ democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dellíuso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra líaltro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato (Ö)î.

Il Data Protection Working Party, intervenendo sulla questione con Parere n.1/2003, forniva alcune indicazioni interpretative degli articoli delle Direttive 97/66/CE e 2002/58/CE in tema di tutela e conservazione dei dati. In particolare, con riguardo al periodo di tempo durante il quale i dati relativi al traffico, originati dallíeffettuazione delle comunicazioni elettroniche, potessero essere sottoposti a trattamento ai fini della fatturazione, precisava che tali dati dovrebbero essere conservati ìper il periodo necessario a consentire il pagamento delle fatture e la composizione delle controversieî e comunque ìper un periodo di memorizzazione massimo di 3-6 mesi e non pi˘ lungo in quei casi in cui le fatture sono state pagate e non sembrano essere state oggetto di contestazione o di richieste di delucidazioni (tenuto conto del diritto alla tutela della vita privata dei singoli abbonati)î. Il Gruppo di lavoro ribadiva che solo ìin casi particolari di contestazione o di richiesta di delucidazioni i dati possono essere memorizzati per un periodo pi˘ lungo al fine di facilitare il pagamento della fatturaî ed, ancora che, in tali casi particolari, ìi periodi di memorizzazione dei dati devono essere valutati tenendo conto delle particolari circostanze di ogni singolo caso onde permettere la composizione delle controversie in corsoî. Nel medesimo Parere, il Gruppo di lavoro metteva in evidenza che i dati memorizzati relativi al traffico dovessero limitarsi ai dati ìnecessariî e che ìpossono essere sottoposti a trattamento soltanto i dati che sono adeguati, pertinenti e non eccedenti in relazione alle finalit‡ di fatturazione e dei pagamenti di interconnessioneî.

Il legislatore italiano, dando attuazione allíart. 15 della Direttiva 2002/58, ha disciplinato la conservazione dei dati di traffico agli artt. 123 e art. 132 del Dlgs. 196/2003. Tale disciplina ha sofferto líassenza di precise indicazioni normative europee sui tempi di conservazione dei dati di traffico, tanto da renderne necessaria una modifica con decreto legge n.354/03 (divenuto legge il 26 febbraio 2004) ,che ha portato ad uníintegrale riformulazione dellíart. 132 del Dlgs. 196/2003, relativo alla conservazione dei dati di traffico per finalit‡ di accertamento e repressione di reati. Il vecchio testo della norma stabiliva genericamente che ìFermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per trenta mesi, per finalit‡ di accertamento e repressione di reati, secondo le modalit‡ individuate con decreto del Ministro della giustizia, di concerto con i Ministri dell’interno e delle comunicazioni, e su conforme parere del Garanteî. Il nuovo testo dellíart. 132 si articola in 5 commi che disciplinano in maniera dettagliata le operazioni di conservazione e di acquisizione al giudizio dei dati di traffico per finalit‡ di accertamento e repressione di reati.

Il recente Parere (n.9/2004) del Data Protection Working Party va senza dubbio ad interferire con quanto disposto dai commi 2, 3 e 5 dellíart. 123 e dai commi 1 e 2 dellíart. 132, bollando come illegittima la conservazione per lunghi periodi, preventiva e routinaria, di tutti i dati relativi al traffico, anche nellíipotesi in cui questi siano stati richiesti ai providers per concrete esigenze di indagini giudiziarie e di polizia. Un obbligo di conservare preventivamente per un certo periodo tutti i dati di traffico e localizzazione utilizzati dai providers per fornire servizi di comunicazione ñ afferma il Gruppo di lavoro – sarebbe contrario ai principi di proporzionalit‡, pertinenza e finalit‡ specifica cui si deve ispirare ogni operazione di trattamento dei dati personali: nellíutilizzare i dati di traffico per finalit‡ giudiziarie o di polizia Ë necessario rispettare la Convenzione europea dei diritti umani. Líart. 8 (2) della Convenzione stabilisce, infatti, che uníinterferenza nella vita privata delle persone ñ che si verrebbe a realizzare imponendo ai providers un obbligo di conservare obbligatoriamente, per un periodo che varia dai 12 ai 36 mesi, tutti i dati di traffico e localizzazione utilizzati per fornire servizi di comunicazione ñ Ë ammissibile soltanto se ha un adeguato fondamento giuridico, se risponde a criteri di necessit‡ nel quadro di una societ‡ democratica e se Ë conforme agli scopi legittimi previsti dalla Convenzione stessa.

Qualora fosse adottata la decisione-quadro del Consiglio Ue presentata da quattro Paesi europei (Francia, Irlanda, Regno Unito, Svezia – doc. 8958/04 del 28 aprile 2004), la sorveglianza delle comunicazioni, che dovrebbe essere uníeccezione mossa da una necessit‡ (sicurezza nazionale, ordine pubblico, perseguimento di reati, etcÖ) si trasformerebbe in una pericolosa regola. Tutti gli utenti, e non solo i potenziali sospetti o i criminali, ne subirebbero le conseguenze, e verrebbero inevitabilmente violati i principi stabiliti dalla Convenzione europea sui diritti umani, nonchÈ i principi generali che sono alla base della disciplina del trattamento dei dati personali.

Come reagir‡ il legislatore italiano, nonchÈ i legislatori degli altri Paesi, a queste nuove precisazione del Data Protection Working Party?

avv. Giancarlo Barbon
giancarlo.barbon@lidis.it
www.lidis.it

Lascia un commento

WeeJay