Diversi termini previsti, nei vari paesi dell’Unione Europea, per la conservazione dei dati di traffico telefonico e telematico; conservazione dei dati relativi anche ai contenuti delle comunicazioni e scarse misure di sicurezza adottate dai provider.
Questo il quadro emerso dall’indagine condotta dal Gruppo Articolo 29 – costituito dalle Autorità Europee per la protezione dei dati – in merito all’attuazione, nei singoli stati membri dell’UE, della Direttiva 2006/24 (cosiddetta "Direttiva Frattini"), relativa all’obbligo dei fornitori di servizi di comunicazione elettronica di conservare i dati di traffico telefonico e telematico per finalità di polizia e giudiziarie. Tale normativa, come noto, ha avuto lo scopo di realizzare un equilibrio fra le esigenze della giustizia e la tutela della vita privata. Punto fondamentale della normativa europea è stato quello di imporre il divieto assoluto di conservazione dei dati che “costituiscono il contenuto dell’informazione comunicata”. Sono quindi sempre esclusi dall’obbligo di conservazione, salvo che vi sia apposita richiesta da parte dell’autorità giudiziaria, i contenuti delle conversazioni telefoniche, degli SMS, delle e-mail etc. Nel nostro paese la Direttiva è stata recepita con il Decreto Legislativo n. 109 del 30/05/2008, il cui punto cardine è consistito nella modifica dell’art. 132 del Codice in materia di protezione dei dati personali (D.lgs. 196/2003). Il comma 1 dell’art. 132 del Codice della privacy, intitolato conservazione di dati di traffico per altre finalità, così come modificato dal D.lgs. 109/2008, prevede che “(…) i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione di reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione”. Con tale previsione normativa è stata modificata la disciplina previgente che consentiva, di fatto, una conservazione indiscriminata dei dati, prevedeva diversi termini di conservazione a seconda della gravità del reato per il quale l’autorità giudiziaria stava indagando e non identificava in maniera uniforme e precisa il momento a partire dal quale i dati dovevano essere conservati. Il D.lgs. n. 109/2008 ha invece stabilito il termine di conservazione di 30 giorni per i dati trattati aventi ad oggetto le chiamate senza risposta, e i termini di 24 mesi e di 12 mesi rispettivamente applicabili al traffico telefonico ed a quello telematico. L’art. 3 del D.lgs. n. 109/2008 ha inoltre indicato, nello specifico, le categorie di dati che gli operatori di telefonia e di comunicazione elettronica sono tenuti a conservare per le finalità della giustizia (dati necessari per rintracciare e identificare la fonte e la destinazione di una comunicazione; necessari per determinare la data, l’ora, la durata di una comunicazione, nonché il tipo di comunicazione, le attrezzature di comunicazione degli utenti o quelle che si presumono essere le loro attrezzature; necessari, altresì, per determinare l’ubicazione delle apparecchiature di comunicazione mobile). Come comunicato dal Garante della Privacy sul proprio sito, dall’indagine condotta a livello europeo sullo stato di attuazione della Direttiva 2006/24, è emerso “un quadro complessivamente disarmonico, sia sul recepimento della direttiva da parte degli Stati membri, sia sulle specifiche disposizioni nazionali, che in alcuni casi risultano contrarie ai principi della direttiva stessa o gravemente manchevoli con particolare riguardo alle misure di sicurezza adottate”. In particolare, attraverso l’utilizzo di un questionario inviato dai Garanti UE ai principali provider dei rispettivi paesi, è stato verificato che i fornitori spesso utilizzano misure di sicurezza inadeguate e lacunose e che “le categorie di dati conservati eccedono spesso quelle indicate nella direttiva, soprattutto per quanto riguarda i dati di traffico telematico che in taluni casi comprendono anche dati relativi ai contenuti delle comunicazioni”, cosa, come detto, vietata dalla direttiva. Inoltre tra le legislazioni dei paesi UE, vi è differenza in merito alla previsione del periodo di conservazione dei dati, che varia tra 6 mesi e 10 anni. Per tale ragione, a conclusione dell’analisi, che è stata coordinata dal Garante italiano, le Autorità hanno trasmesso delle raccomandazioni sia alla Commissione Europea, alla quale è stata chiesta la fissazione di un unico periodo per la conservazione dei dati, anche più breve di quello attualmente previsto, sia ai fornitori affinché adottino “alcuni ulteriori accorgimenti (sistemi di "strong authentication", registro dettagliato dei log di accesso, ecc.)” ai fini di una maggiore sicurezza. Il Gruppo Articolo 29 ha anche proposto “uno schema pan-europeo per la consegna dei dati da parte dei provider alle autorità di polizia e giudiziarie così da facilitare e armonizzare gli interscambi ed anche le analisi statistiche (quanti accessi, quali dati, richiesti da quali autorità, ecc.)”. (D.A. per NL)