(1 Premessa ? 2 I dati di traffico telematico ? 3 L?obbligo di conservazione del traffico telematico ? 4 Le novit? apportate dal Decreto Pisanu ? 5 I fornitori di rete di comunicazione elettronica accessibile al pubblico – 5.1 La normativa sulle telecomunicazioni 5.1.1 L?obbligo di iscrizione al ROC – 5.1.2 L?obbligo di Autorizzazione del Ministero delle Comunicazioni – 6 La conservazione del traffico telematico per i soggetti non tenuti al rispetto del Decreto Pisanu – 7 Conclusioni)
?
1 Premessa
Il decreto Pisanu trasformato nella legge n. 155/2005 ? intervenuto modificando i termini di conservazione dei dati inerenti il traffico telematico previsti nell?art. 132 del Codice privacy.
L?intervento legislativo ? stato necessario al fine di non vanificare le indagini sul terrorismo attualmente in corso in considerazione dell?approssimarsi dei termini massimi di conservazione dei dati inerenti il traffico telematico previsti dal previdente art. 132 del Codice privacy. A seguito della recente entrata in vigore della Legge Pisanu molte societ? si sono interrogate circa l?effettiva sussistenza nei loro confronti dell?obbligo di conservazione dei dati inerenti il traffico telematico.
Con questo breve elaborato ci si propone di evidenziare come gli obblighi di conservazione del traffico telematico sussistano esclusivamente in capo a determinati soggetti espressamente indicati dalla legge e non in capo a chiunque detenga, a qualsiasi titolo, i dati in questione.
?
2 I dati di traffico telematico
I dati relativi al traffico sono i dati sottoposti a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione (1). La Direttiva 2002/58/CE, dalla quale la definizione di cui sopra ? stata ripresa seppur sommariamente, definisce i dati relativi al traffico come i dati? concernenti l?instradamento, la durata, il tempo o il volume di una comunicazione, il protocollo usato, l?ubicazione dell?apparecchio terminale di chi invia o riceve, la rete sulla quale la comunicazione si origina o termina,nonch? i dati inerenti? l?inizio, la fine o la durata di un collegamento.
?
3 L?obbligo di conservazione del traffico telematico
Il Codice privacy ha stabilito l?obbligo di conservazione ?dei dati inerenti il traffico telematico per sei mesi per finalit? di accertamento e repressione dei reati prorogabili di altri sei mesi in caso di reati particolarmente gravi (tra i quali rientrano i reati di terrorismo e di eversione dell?ordinamento dello Stato(2)) nonch? , per espressa previsione, in caso di reati contro il sistema informatico.
In via particolareggiata l?art. 132, commi 1 e 2, del Codice privacy, rubricato Conservazione di dati di traffico per altre finalit? (ove per altre finalit? si intende scopi diversi dalla fatturazione), cos? recita: ?1. Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, sono conservati dal fornitore per ventiquattro mesi, per finalit? di accertamento e repressione dei reati, mentre, per le medesime finalit?, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per sei mesi.
2. Decorso il termine di cui al comma 1, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, sono conservati dal fornitore per ulteriori ventiquattro mesi e quelli relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati per ulteriori sei mesi per esclusive finalit? di accertamento e repressione dei delitti di cui all’articolo 407, comma 2, lettera a) del codice di procedura penale, nonch? dei delitti in danno di sistemi informatici o telematici?.
?
4 Le novit? apportate dal Decreto Pisanu
L?art. 132 del Codice privacy ? stato modificato dal Decreto Pisanu (trasformato nella Legge n. 155 del 31 luglio 2005) che ha bloccato la conservazione dei dati inerenti il traffico telematico fino al 31 dicembre del 2007 per finalit? di lotta al terrorismo (3). L?art. 6 del Decreto, infatti, ha disposto la sospensione di tutte quelle norme o atti che prevedono l?obbligo di procedere alla cancellazione del traffico telematico (informazioni inerenti la tracciabilit? degli accessi e dei servizi) e telefonico anche se non ? soggetto a fatturazione. L?obbligo sussiste in capo a chi fornisce una rete pubblica di comunicazioni oppure un servizio di comunicazione elettronica accessibile al pubblico. Nella relazione introduttiva del 26 luglio 2005 del decreto Pisanu, al commento all?art. 6 del medesimo, viene fatto espresso riferimento alla circostanza che l?obbligo di conservazione si riferisca ai fornitori di rete.
L?obiettivo, come si evince dalla lettura della relazione ? quello di avere una moratoria di circa 30 mesi sulla conservazione dei dati allo stato acquisiti da parte dei fornitori di rete affinch? gli stessi non procedano alla cancellazione dei dati (che sarebbe altrimenti stata prevista dall?art. 132 del Codice privacy) e vengano fatte salve le esigenze investigative nel settore dell?antiterrorismo.
Il decreto Pisanu stabilisce, inoltre, che i dati del traffico conservati oltre i limiti previsti dall?articolo 132 del Codice privacy possono essere utilizzati esclusivamente per finalit? antiterroristiche, salvo l?esercizio dell?azione penale per i reati comunque perseguibili.
?
5 I fornitori di servizi di comunicazione elettronica accessibile al pubblico
L?obbligo di conservazione dei log per finalit? di giustizia ? previsto dall?art. 132 del Codice privacy che rientra nel Capo I Servizi di comunicazione elettronica del Titolo X del Codice privacy rubricato le ?Comunicazioni elettroniche? ed attuativo della Direttiva 58/2002 inerente la tutela dei dati personali nel settore delle comunicazioni elettroniche.
L?art. 121 del Codice privacy, precisa che le disposizioni del Titolo X (nel cui ambito rientra l?obbligo di conservazione dei dati inerenti il traffico) si applicano ai trattamenti di dati personali eseguiti dai ?fornitori di servizi di comunicazione elettronica accessibili al pubblico?. La medesima definizione viene riportata nella Legge 155/2005 che appunto evidenzia come gli obblighi di conservazione del traffico telematico sussistano nei confronti dei ?fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico?.
La definizione di ?fornitori di servizi di comunicazione elettronica? si ricava dalla lettura dell?art. 2 della Direttiva 2002/21/CE (facente parte del cd Pacchetto TELECOM)(4), che definisce i servizi di comunicazione elettronica come? i servizi, normalmente forniti a pagamento consistenti, esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettroniche (5).
Caratteristica di detti servizi, cui si applica la parte del Codice privacy inerente le comunicazioni elettroniche(6) nonch? la Legge Pisanu, ? che gli stessi siano forniti al pubblico, in caso contrario si applicheranno le residue norme del Codice privacy, di ratifica della Direttiva 95/46, che quindi disciplina i servizi di telecomunicazione non offerti al pubblico.
Ne consegue che le norme di cui al Codice privacy, specifiche per le comunicazioni elettroniche si applicano ai soggetti che prestano dei servizi costituiti, in via esclusiva o prevalente, dalla trasmissione di segnali su reti di comunicazioni elettroniche, da rendere in favore del pubblico(7).
?
5.1 La normativa sulle telecomunicazioni
Nella delibera 102/03/CONS, l?Authority delle Telecomunicazioni? precisa che ?la semplice messa a disposizione di una apparecchiatura terminale di rete, in ogni caso conforme alle vigenti disposizioni in materia di omologazione, approvazione, compatibilit? elettromagnetica e sicurezza elettrica, connessa ad un punto terminale di una rete pubblica di un gestore di rete, non costituisce un servizio pubblico di telecomunicazioni offerto da chi mette a disposizione tale apparecchiatura, allorquando gli obblighi di settore relativi alla fornitura del servizio stesso e di quelli relativi alla fornitura e gestione della rete pubblica, anche eventualmente mediante accordi tra le parti, sono assolti dal detto gestore di rete, ed i clienti che utilizzano tale apparecchiatura sono chiaramente informati delle modalit? e delle condizioni di erogazione del servizio stesso, fatte salve le norme vigenti specifiche in materia di esercizio del commercio e pubblica sicurezza? (8).
Ne consegue che le societ? private o gli altri soggetti che si avvalgono di un server proprio per l?accesso alla rete non possono essere considerati come soggetti che offrono un servizio di comunicazione al pubblico.
?
5.1.1 L?obbligo di iscrizione al ROC
Si aggiunga che i fornitori di accesso alla rete pubblica di comunicazioni elettroniche, in capo ai quali grava l?obbligo di conservazione del traffico telematico, sono tenuti all?esecuzione dell?obbligo di iscrizione al ROC.
Si ritiene, pertanto, opportuno precisare che il Regolamento dell?Authority n. 236/01/CONS inerente l?individuazione dei soggetti iscritti al ROC evidenzia, all?art. 2, comma 1 lett. g), che sono tenuti all?iscrizione: ?le ?imprese fornitrici di servizi di telecomunicazioni e telematici: i soggetti che, in base a licenza o autorizzazione installano e forniscono reti di telecomunicazione o forniscono servizi consistenti, in tutto o in parte, nella trasmissione e nell?instradamento di segnali su reti di telecomunicazioni, ivi compreso qualunque servizio interattivo anche se relativo a prodotti audiovisivi, esclusa la diffusione circolare dei programmi radiofonici e televisivi?. Orbene, dal dato letterale si evince chiaramente che l?obbligo sussiste esclusivamente in capo ai soggetti che per l?esercizio delle loro attivit? sono tenuti a richiedere, preliminarmente, una licenza oppure un?autorizzazione (9). Si aggiunga che la conclusione della insussistenza nei confronti dei soggetti che non forniscono un servizio di telecomunicazione al pubblico di procedere alla conservazione dei log, in base alle disposizioni della Legge 155/2005 e dell?art. 132 del Codice privacy, risulterebbe confermata anche dalla Delibera dell?Autorit? per le comunicazioni che esclude l?obbligo di iscrizione al ROC (Registro Operatori di Comunicazione) per taluni soggetti che non hanno nel loro oggetto sociale, come attivit? principale, l?attivit? di telecomunicazione e che mettono a disposizione del pubblico degli apparecchi di rete terminale (es. bar., pizzerie, tabaccherie, alberghi, ecc.). Nei confronti di detti soggetti la Legge Pisanu ha introdotto una norma ad hoc che prevede l?obbligo degli stessi di presentare specifica richiesta di autorizzazione alle autorit? competenti.
?
5.1.2 L?obbligo di Autorizzazione del Ministero delle Comunicazioni
La fornitura di accesso alla rete costituisce un servizio che necessita di un?autorizzazione da richiedere al Ministero delle comunicazioni, in base al disposto del D. L. 17 marzo 1995 n. 103 e del DPR 4 settembre 1995 n. 420. ?Detta richiesta di autorizzazione, tuttavia, costituisce un obbligo esclusivamente per coloro che intendono offrire al pubblico il servizio di telecomunicazione mediante l?utilizzo di collegamenti diretti o commutati alla rete pubblica (10).
Sono, peraltro, espressamente esclusi dagli obblighi di autorizzazione in discorso, i soggetti che prestano i servizi di accesso in favore di ?gruppi chiusi di utenti? ove per essi si intendono i soggetti legati da un intenso legame professionale (11). Un esempio di gruppi chiusi di utenti ? costituito dai gruppi societari nell?ambito dei quali la gestione dei server viene affidata ad una societ? che consente l?accesso alla rete anche in favore delle altre e societ? appartenenti al Gruppo societario. Detta circostanza, tuttavia, non ? di per s? sufficiente a qualificare giuridicamente detti soggetti? come fornitori di in servizio di comunicazione elettronica accessibile al pubblico (o tanto pi? come un fornitore di rete) e, pertanto, non sussiste un obbligo di richiedere la autorizzazione al Ministero competente.
?
6 La conservazione del traffico telematico per i soggetti non tenuti al rispetto del Decreto Pisanu
?
I soggetti che non sono tenuti a rispettare l?obbligo di conservazione del traffico telefonico e del traffico telematico previsto dalla specifica sezione del Codice privacy, per come modificata dal Decreto Pisanu, tuttavia, sono in ogni caso tenuti a rispettare le prescrizioni generali previste da parte del D. Lgs. 196/2003 nei confronti di tutte le categorie di titolari del trattamento dei dati.
Con specifico riferimento alla conservazione dei log di accesso alla Rete le prescrizioni di cui all?art. 11 del Codice privacy relative ai principi di liceit? e correttezza del trattamento dei dati.
?
L?obbligo di conservazione dei dati (ex art. 132 Codice privacy e art. 6 della Legge 155/2005) inerenti il traffico telefonico o telematico sussiste, come si ? avuto modo di chiarire, esclusivamente in capo agli ISP, ai fornitori di rete o di altri servizi di telecomunicazioni offerti al pubblico.
I soggetti che non sono tenuti a rispettare le norme di cui sopra? debbono, in ogni caso, osservare la regola generale in materia di conservazione dei dati di cui all?art. 11, comma 1, lett. e), del Codice privacy.
In base al citato disposto i titolari del trattamento sono tenuti alla conservazione dei dati personali, diretti e/o indiretti, per un periodo di tempo non superiore a quello necessario per il conseguimento dello scopo della raccolta. Nel caso in cui lo scopo della raccolta del dato sia esclusivamente quello di consentire l?accesso alla rete appare evidente come i log debbano essere cancellati subito dopo aver consentito la connessione. Qualora lo scopo sia, invece,? anche di carattere statistico le informazioni potranno essere conservate ulteriormente, previa anonimizzazione nel rispetto del principio di minimizzazione e di stretta necessit? del trattamento. Nel caso, inoltre, in cui i dati vengano conservati per scopi di carattere organizzativo o di sicurezza del sistema le informazioni potranno essere conservate anche per periodi ulteriori rispetto alla mera fornitura della connessione in rete. Il periodo di conservazione dei dati inerenti la tracciatura della navigazione in rete, secondo il Gruppo dei Garanti europei WP 55/2001, non dovrebbe in ogni caso superare i sei mesi (12).
Il medesimo Codice stabilisce, all?art. 25 (13), il divieto di procedere alla comunicazione e diffusione dei dati di cui non ? pi? necessaria la conservazione. ?
Si ricorda che la violazione dell?art. 11 importa l?inutilizzabilit? dei dati ai sensi del disposto di cui al comma 2 della norma in commento.
Si tratta di una disposizione nuova non prevista dalla previgente normativa e sottovalutata, ad una prima analisi del Codice privacy, dalla dottrina poich? la violazione del divieto di utilizzo dei dati non espone le societ? ad alcuna sanzione di carattere amministrativo o di carattere penale.
La dottrina pi? autorevole ed attenta (14), invece, ha evidenziato l?importanza del divieto in esame che si traduce in una vera e propria inutilizzabilit? dei dati (15). L?inutilizzabilit? dei dati si risolve nel divieto di continuare ad utilizzare i dati in ogni loro forma. Detto obbligo matura nel momento in cui il soggetto che pone in essere il trattamento ? consapevole della violazione.
Appare interessante osservare come il divieto di utilizzo dei dati sussiste non solo in capo ai soggetti Titolari del trattamento ma anche in capo ai responsabili. La circostanza ? tesa ad evitare che le parti possano eludere il divieto procedendo ad una articolazione dei ruoli privacy.
La mancata prosecuzione del trattamento illegittimo, pertanto, deve essere effettuata da parte dei soggetti che vi procedono autonomamente senza attendere che sopraggiunga un ordine di divieto dell?uso dei dati o un ordine di blocco del trattamento.
La violazione del divieto di comunicazione dei dati di cui si sarebbe dovuta effettuare la cancellazione potrebbe importare l?applicazione della pena sino a tre anni di reclusione (art. 167 Codice privacy) in presenza di tutti gli elementi prescritti dalla norma per l?integrazione della fattispecie criminosa.
?
7 Conclusioni
?
Allo stato, pertanto, l?obbligo di conservazione dei dati inerenti il traffico telematico ed il traffico telefonico per finalit? di antiterrorismo esiste esclusivamente nei confronti dei soggetti espressamente indicati nel dettato normativo. Non pu? escludersi, tuttavia, un intervento normativo teso ad ampliare dette categorie di soggetti obbligati oppure un parere formale rilasciato da parte di una delle autorit? competenti sulla materia, inerente la tutela della privacy nelle telecomunicazioni,? che dia un?interpretazione estensiva del dettato normativo. Per tale motivazione si rende necessario un monitoraggio costante della tematica inerente la conservazione dei log di accesso alla Rete e degli altri dati inerenti il traffico telematico.
?
?
?
?
?
NOTE
?
(1) Cfr. art. 4 del Codice privacy.
(2) La norma richiama? il comma 2 dell?art. 407 c.p.p..
(3) L?art, 132 del Codice privacy ai commi successivi statuisce: ?3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta alle indagini pu? richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalit? indicate dall’articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all’articolo 8, comma 2, lettera f), per il traffico entrante. 4. Dopo la scadenza del termine indicato al comma 1, il giudice autorizza l’acquisizione dei dati, con decreto motivato, se ritiene che sussistano sufficienti indizi dei delitti di cui all’articolo 407, comma 2, lettera a), del codice di procedura penale, nonch? dei delitti in danno di sistemi informatici o telematici.? 4-bis. Nei casi di urgenza, quando vi ? fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati relativi al traffico telefonico con decreto motivato che ? comunicato immediatamente, e comunque non oltre ventiquattro ore, al giudice competente per il rilascio dell’autorizzazione in via ordinaria. Il giudice, entro quarantotto ore dal provvedimento, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non ? convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati. 5. Il trattamento dei dati per le finalit? di cui ai commi 1 e 2 ? effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti ai sensi dell’articolo 17, volti anche a:? a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento di cui all’allegato B);? b) disciplinare le modalit? di conservazione separata dei dati una volta decorso il termine di cui al comma 1;? c) individuare le modalit? di trattamento dei dati da parte di specifici incaricati del trattamento in modo tale che, decorso il termine di cui al comma 1, l’utilizzazione dei dati sia consentita solo nei casi di cui al comma 4 e all’articolo 7;? d) indicare le modalit? tecniche per la periodica distruzione dei dati, decorsi i termini di cui ai commi 1 e 2.
(4) Detta direttiva ? stata recepita(unitamente ad altre tre)? nel D. Lgs. 259/2003 meglio noto come Codice delle comunicazioni elettroniche.
(5) Ad esclusione dei servizi che forniscono contenuti e dei servizi della societ? dell?informazione non consistenti interamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettronica, v. lett. c) dell?art. 2 Direttiva quadro.
(6) V. T. Croce, Commento alle Comunicazioni elettroniche, in Il Codice della Privacy, 2004, Cedam, Tomo II, pag. 1505.
(7) V. M. Massimi, Il diritto alla protezione dei dati personali, (a cura di),? R. Acciai, 2003, pag. 730; C. Filippi, Le nuove regole per i servizi di comunicazione elettronica, in La protezione dei dati personali (a cura di) Santaniello, 2005, Giuffr?, 623. I fornitori di accesso alla rete rientrano nella definizione dei soggetti che offrono servizi della societ? dell?informazione ed essi restano assoggettati al disposto del D. Lgs. 70/2003 sul commercio elettronico, di ratifica della direttiva 2000/31 per quanto attiene ai contenuti dei servizi nonch? al Codice delle comunicazioni elettroniche per quanto concerne le norme relative alla mera attivit? di trasmissione del segnale.
I fornitori di accesso alla rete rientrano nella categoria di soggetti fornitori di un servizio di comunicazione elettronica accessibile al pubblico. Detti soggetti sono, infatti, definiti come le imprese che forniscono servizi di comunicazione elettronica accessibili al pubblico (cfr. F. Berghella, Guida pratica alle nuove misure di sicurezza per la privacy, 2003, pag. 95).
(8) La medesima delibera 102/03 CONS, dell?Authority di garanzia nelle comunicazioni, all?art. 1 precisa: ?Non si considera fornitore di un servizio pubblico di telecomunicazioni ai sensi dell?art. 6 del d.P.R. n. 318/97, nelle condizioni esposte nelle premesse del presente provvedimento, quell?esercente l?attivit? commerciale, quale ad esempio gestore di bar, albergo, pizzeria, tabaccheria, che, non avendo come oggetto sociale principale l? attivit? di telecomunicazioni, mette a disposizione della propria clientela le apparecchiature terminali di rete?.
(9) La prassi invalsa presso l?Authority delle comunicazioni ? quella di prevedere l?obbligo di iscrizione al Registro degli Operatori delle Comunicazione nei confronti di tutti i soggetti che sono tenuti a svolgere la loro attivit? previa autorizzazione o licenza ove per autorizzazione viene addirittura intesa anche la semplice dichiarazione di inizio attivit?.? Detta soluzione, peraltro, sembrerebbe avallata da diversi provvedimenti dell?Authority di garanzia nelle comunicazioni dei quali gli stessi componenti dell?Authority, in considerazione delle continue modifiche normative nonch? di alcune vacatio legis, suggeriscono di effettuare un?interpretazione sistematica? e strettamente letterale.
?
(10) Nel modello di domanda predisposto dal Garante nelle comunicazioni (http://www.agcom.it/documenti/467_00_cons_all.doc) viene espressamente richiesto di indicare la data dalla quale si intende procedere all?offerta al pubblico.
?
(11) Cfr. DPR 420/1995, art. 2 che cos? recita: ?Si intende per gruppo chiuso di utenti una pluralit? di soggetti che risultino legati fra di loro da uno stabile interesse professionale comune tale da giustificare esigenze interne di comunicazione connesse direttamente al predetto interesse?.
(12) Il periodo di conservazione dei dati inerenti la tracciatura della navigazione in rete, secondo il Gruppo dei Garanti europei WP 55/2001, non dovrebbe in ogni caso superare i sei mesi. Il medesimo periodo ? stato previsto dal Legislatore italiano nell?art. 132 del Codice seppur a seguito di un accesissimo dibattito politico che ha addirittura? condotto alla modifica dell?art. 132 ancor prima della sua entrata in vigore.
(13) L? Art. 25 del Codice privacy, rubricato ?Divieti di comunicazione e diffusione? cos? statuisce: ?1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorit? giudiziaria: a) in riferimento a dati personali dei quali ? stata ordinata la cancellazione, ovvero quando ? decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e); b) per finalit? diverse da quelle indicate nella notificazione del trattamento, ove prescritta. 2. ? fatta salva la comunicazione o diffusione di dati richieste, in conformit? alla legge, da forze di polizia, dall’autorit? giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’articolo 58, comma 2, per finalit? di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.?
(14) V. Buttarelli, L?inutilizzabilit? delle informazioni trattate contra legem, in La protezione dei dati personali, cit., pag. 80 e ss..
(15) La figura del divieto di utilizzazione dei dati ritrova il proprio fondamento in istituti? analoghi di stampo processuale quali la nullit? e la stessa inutilizzabilit?, figure legate, nell?ambito processualpenalistico, alla patologia della prova.
Scrivi un commento
Accedi per poter inserire un commento