|
AUTORITA’ GARANTE DEI DATI PERSONALI
Il
Garante definisce le regole per la messa in sicurezza
dei
dati di traffico telefonico e internet e avvia una consultazione
Il testo del documento
Il Garante per la privacy, dando
attuazione a quanto previsto dal Codice privacy e alle normative in materia
di sicurezza più recentemente introdotte, individua le regole
essenziali per la messa in sicurezza dei dati di traffico telefonico e
Internet conservati a fini di accertamento e repressione dei reati e avvia una consultazione pubblica
.
Con un documento nel quale indica in maniera
organica le misure da rispettare per la conservazione dei dati a fini di
giustizia da parte di gestori telefonici e fornitori di servizi di
comunicazione elettronica, l'Autorità risponde alla necessità
di assicurare una effettiva ed efficace protezione di dati personali
riguardanti milioni di cittadini, sia a tutela della sfera privata di questi
ultimi sia nell'interesse stesso di magistratura e forze di polizia.
Il documento, del
quale è stato relatore Francesco Pizzetti, è frutto di
un'attività, anche ispettiva molto articolata, iniziata alla fine del
2005 e portata avanti in questi due anni. Proprio considerata la complessità
della questione, l'Autorità ha deciso di avviare una
consultazione pubblica (www.garanteprivacy.it) con le istituzioni
interessate (in particolare Ministero della giustizia, Ministero dell'interno
e Csm), con le aziende e le relative associazioni di categorie nonché con le
associazioni dei consumatori. Lo scopo è quello di acquisire
osservazioni e commenti utili per l'adozione di un definitivo provvedimento
in materia.
Come è noto, sulla base
del Codice privacy i dati di traffico telefonico devono essere conservati a
fini di lotta al crimine per un massimo di 4 anni. Il cosiddetto
"pacchetto Pisanu" del 2005 ha poi introdotto un analogo obbligo di
conservazione anche riguardo ai dati di traffico telematico che devono essere
tenuti, esclusi comunque i contenuti, per un massimo di 1 anno. Obbligo
questo previsto anche dalla direttiva europea sulla conservazione dei dati di
traffico a fini di giustizia, alla quale il Governo deve dare a breve piena
attuazione.
Il documento, nel chiarire i
soggetti destinatari e i dati oggetto di conservazione, stabilisce
prescrizioni tecnico organizzative riguardo alla loro tenuta e alla loro
messa in sicurezza. In particolare prevede:
adozione di avanzati sistemi di
autenticazione per gli incaricati che possono avere accesso ai dati;
conservazione separata dei dati
tenuti per finalità di accertamento e repressione dei reati da
quelli utilizzati per funzioni aziendali (es., fatturazione, marketing,
statistiche);
immediata cancellazione dei dati
una volta decorso il tempo previsto di conservazione;
tracciamento di ogni accesso e
operazione compiuta da parte degli incaricati;
introduzione di sistemi di
segnalazione di comportamenti anomali (es., interrogazioni massive
ingiustificate, interrogazioni fuori dell'orario di lavoro);
controlli interni periodici
sulla legittimità degli accessi ai dati da parte degli incaricati, sul
rispetto delle regole e delle misure organizzative tecniche e di sicurezza
prescritte dal Garante;
sistemi di cifratura a
protezione dei dati di traffico contro rischi di acquisizione indebita o
fortuita, (es.,in caso di manutenzione degli apparati o di ordinarie
operazioni da parte degli amministratori di sistema).
Sono esclusi dall'ambito di
applicazione di queste regole - sia perché non assimilabili a veri e propri
gestori di servizi tlc e di comunicazione elettronica sia per evitare
ingiustificate conservazioni di dati - i gestori di esercizi pubblici e
Internet café, i gestori di siti Internet che diffondono contenuti sulla rete
("content provider"), i gestori dei motori di ricerca, le aziende o
le amministrazioni pubbliche che mettono a disposizione del personale reti
telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di
server messi a disposizione da altri soggetti.
La consultazione si
concluderà entro il 31 ottobre e immediatamente dopo, anche sulla base
degli elementi acquisiti, il Garante provvederà ad adottare in via
definitiva il provvedimento. Sarà questa una tappa essenziale per
rendere anche il sistema delle telecomunicazioni italiane più sicuro e
più protetto.
Roma, 25 settembre 2007
Consultazione
pubblica –
La
conservazione dei dati di traffico telefonico e telematico per
finalità di accertamento e repressione di reati
Il Garante per la protezione dei dati personali, vista la delibera adottata
il 19 settembre 2007, ritiene opportuno avviare una procedura di
consultazione pubblica sul documento adottato in pari data recante
"Misure e accorgimenti a garanzia degli interessati in tema di
conservazione di dati di traffico telefonico e telematico per finalità
di accertamento e repressione di reati", pubblicato, unitamente alla
citata delibera, sul sito web dell'Autorità (www.garanteprivacy.it).
L'obiettivo della consultazione
è quello di acquisire osservazioni e commenti, in particolare dai
fornitori di servizi di comunicazione elettronica (tenuti per legge ad
operare tale conservazione di dati), da loro organismi rappresentativi e da
analoghi organismi relativi a utenti e abbonati nonché dalle Istituzioni
interessate.
Tali osservazioni e commenti
potranno pervenire entro il 31 ottobre 2007, all'indirizzo
dell'Autorità di Piazza di Monte Citorio n. 121, 00186 Roma, ovvero
all'indirizzo di posta elettronica
datiditraffico@garanteprivacy.it.
Una sintesi delle risultanze
della consultazione sarà pubblicata sul sito web dell'Autorità.
Le comunicazioni fornite dai
soggetti che aderiscono alla consultazione non precostituiscono alcun titolo,
condizione o vincolo rispetto ad eventuali successive decisioni del Garante.
INFORMATIVA
(art. 13 del Codice in materia di protezione dei dati personali)
I dati personali eventualmente forniti facoltativamente
partecipando alla consultazione pubblica saranno utilizzati
dall'Autorità nei modi e nei limiti necessari per adottare i
provvedimenti di sua competenza in materia, con procedure prevalentemente
informatizzate e a cura delle sole unità di personale od organi
interni al riguardo competenti.
Gli interessati hanno diritto di esercitare i diritti di
cui all' art. 7 del Codice (il
cui testo è riportato sul sito dell'Autorità -
www.garanteprivacy.it) mediante la suindicata casella di posta elettronica,
ovvero presso l'ufficio del Garante con sede in Roma, piazza di Monte Citorio
n. 121, 00186.
Misure e
accorgimenti a garanzia degli interessati
in tema di conservazione di dati di traffico
telefonico e telematico
per finalità di accertamento e repressione
dei reati
1. Considerazioni preliminari
I dati relativi al traffico telefonico e telematico sono informazioni che
dovrebbero riguardare solo alcune caratteristiche esteriori delle
conversazioni, delle chiamate e delle comunicazioni, senza permettere di
desumerne, almeno direttamente, i contenuti.
Tuttavia,
tali caratteristiche permettono di individuare analiticamente quando, tra chi
e come sono intercorsi contatti telefonici o per via telematica. Innumerevoli
informazioni, quando divengono oggetto di una conservazione massiva e
capillare sia pure solo per determinate finalità di giustizia, consentono
di ricostruire anche a notevole distanza di tempo intere sfere di relazioni
personali, professionali, commerciali e istituzionali e di formare anche
delicati profili interpersonali: si tratta in altre parole di dati che
possiedono un'"accentuata valenza divulgativa di notizie caratterizzanti la
personalità dell'autore". (1)
Vi è, quindi,
un'incidenza sulla libertà stessa di comunicazione. Inoltre, specifici
segreti attinenti a determinate attività, relazioni e professioni
possono essere esposti a un serio pregiudizio.
Quando tali
dati devono essere conservati per un'eccezionale necessità prevista
dalla legge, la loro custodia deve essere pertanto basata su elevate cautele,
volte a prevenire rischi specifici per la dignità, i diritti e le
libertà fondamentali degli interessati, nei cui confronti eventuali
abusi possono comportare importanti ripercussioni. (2)
Per le comunicazioni attraverso
reti telematiche si possono porre, poi, ulteriori aspetti critici rispetto
alle tradizionali forme di conversazione telefonica. Non di rado, i dati
esteriori a tali comunicazioni possono essere infatti anche indirettamente
espressivi del contenuto di messaggi, consultazioni in rete di documenti e di
dialoghi, sempre in rete, tra soggetti definiti. Taluni dati possono
permettere anche di desumere particolari orientamenti, convincimenti e abitudini
di ordine politico, sindacale o religioso o attinenti alla sfera della salute
o della vita sessuale.
2. Quadro normativo di
riferimento
2.1. Normativa
comunitaria
La direttiva n. 2002/58/CE,
relativa al trattamento dei dati personali e alla tutela della vita privata
nel settore delle comunicazioni elettroniche, impone agli Stati membri di
proteggere la riservatezza delle comunicazioni elettroniche e vieta la
conservazione dei dati relativi al traffico generati nel corso delle
comunicazioni, ad eccezione della conservazione espressamente autorizzata per
i fini indicati nella direttiva medesima. Questi fini comprendono la
prevenzione, ricerca, accertamento e perseguimento dei reati.
Il legislatore
comunitario definisce i dati relativi al traffico come quei dati
sottoposti a trattamento "ai fini della trasmissione di una
comunicazione su una rete di comunicazione elettronica o della relativa
fatturazione" (cfr. art. 2 della predetta direttiva 2002/58/CE,
nonché il relativo considerando 15 (3) ). Precisa, inoltre, quanto
all'ambito applicativo, che la direttiva ha ad oggetto il trattamento dei
dati personali connesso alla fornitura di servizi di comunicazione
elettronica accessibili al pubblico su reti pubbliche di comunicazione
(cfr. art. 3).
In tale
prospettiva, la direttiva, nell'imporre agli Stati membri l'adozione di
disposizioni di legge nazionali che assicurino la riservatezza delle
comunicazioni effettuate tramite la rete pubblica di comunicazione e i
servizi di comunicazione elettronica accessibili al pubblico, pone l'accento
sui dati di traffico generati dai servizi medesimi (art. 5 (4)). Precisa, inoltre, che tali dati,
trattati e memorizzati dal fornitore della rete pubblica o del servizio
pubblico di comunicazione elettronica, devono essere cancellati o resi
anonimi quando non sono più necessari ai fini della trasmissione della
comunicazione, fatte salve alcune eccezioni, indicate ai paragrafi 2 (5), 3 (6) e 5 (7) dell'art. 6 (8) e all'articolo 15, paragrafo 1
della direttiva.
Quest'ultimo stabilisce, fra
l'altro, che gli Stati membri possono adottare disposizioni legislative volte
a limitare i diritti e gli obblighi di cui ai predetti articoli 5 e 6 qualora
tale restrizione costituisca "una misura necessaria, opportuna e
proporzionata all'interno di una società democratica per la
salvaguardia della sicurezza nazionale (cioè della sicurezza dello
Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca,
accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del
sistema di comunicazione elettronica".
Il medesimo art. 15 dispone che
a tal fine gli Stati membri possano tra l'altro adottare misure legislative
le quali prevedano che, per tali motivi, i dati siano conservati per un
periodo di tempo limitato.
2.2. Normativa nazionale
Il legislatore italiano ha recepito la direttiva 2002/58/Ce, con il Titolo X
del Codice, rubricato "Comunicazioni elettroniche".
Più precisamente, nel
Capo I di tale Titolo, intitolato "Servizi di comunicazione
elettronica", sono contenute alcune disposizioni normative che rilevano
ai fini della disciplina sulla conservazione dei dati di traffico.
Ci si riferisce, in particolare,
all'art. 121 che, nell'individuare i "Servizi
interessati", chiarisce che le disposizioni del Titolo X "si
applicano al trattamento dei dati personali connesso alla fornitura di
servizi di comunicazione elettronica accessibili al pubblico su reti
pubbliche di comunicazioni".
Ci si riferisce, inoltre, agli articoli 123 e
132 del Codice, con i quali sono stati trasposti
nell'ordinamento italiano gli articoli 5, 6 e 15 della direttiva 2002/58/Ce
in materia di trattamento dei dati personali e di tutela della vita privata
nel settore delle comunicazioni elettroniche.
Partendo dal principio secondo
il quale i dati non devono essere formati se non sono necessari e
proporzionati ai fini della funzionalità della rete o della
prestazione del servizio (artt. 3 e 11 del Codice ), il
legislatore ha stabilito il divieto generale di conservazione dei dati
relativi al traffico (art. 123, comma 1 cit.), con le seguenti eccezioni:
è consentito
il trattamento di dati strettamente necessario a fini di fatturazione per
l'abbonato, ovvero di pagamenti in caso di interconnessione (nei limiti e con
le modalità di cui all'art. 123, comma 2) o, previo consenso
dell'utente, a fini di commercializzazione di servizi di comunicazione
elettronica, per la durata a ciò necessaria (art. 123, comma 3);
è prescritta
la conservazione dei dati di traffico per esclusive finalità di
accertamento e repressione dei reati (art. 132 del Codice).
Nell'ambito della normativa nazionale sulla conservazione dei dati di
traffico, è intervenuto nel 2005 il decreto legge 27 luglio 2005, n.
144 (poi convertito, con modificazioni, dalla legge 31 luglio
2005, n. 155), c.d. "Pacchetto Pisanu", che, in estrema sintesi, ha
introdotto:
con riguardo ai dati di traffico
telefonico, l'obbligo di conservazione delle chiamate senza risposta;
l'obbligo di conservazione, per
sei mesi più sei, dei dati di traffico telematico, escludendone i
contenuti;
con riferimento ai primi
ventiquattro mesi di conservazione, la previsione che la richiesta di accesso
venga effettuata dal "pubblico ministero anche su istanza" del
difensore dell'imputato, della persona sottoposta alle indagini, della
persona offesa e delle altre parti private e non già dal "giudice
su istanza del pubblico ministero";
un regime transitorio in
virtù del quale, fino al 31 dicembre 2007, è sospesa
l'applicazione di qualunque disposizione che prescriva o consenta la
cancellazione dei dati di traffico, anche se non soggetti a fatturazione;
per i titolari o i gestori di
esercizi pubblici o di circoli privati di qualsiasi specie, che si limitino a
porre a disposizione del pubblico, dei clienti o dei soci apparecchi
terminali utilizzabili per le comunicazioni, anche telematiche, esclusi i
telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale,
alcuni specifici obblighi di identificazione e monitoraggio delle operazioni
compiute dai clienti (cfr. anche il decreto ministeriale attuativo di tale
previsione: D.M. 16 agosto 2005, pubblicato in G.U. 17 agosto 2005, n. 190).
Pertanto, tale decreto ha, da un
lato, parzialmente emendato l'art. 132 del Codice (punti 1, 2 e 3 sopra
descritti), dall'altro, introdotto un regime transitorio per la conservazione
dei dati, nonché una disciplina speciale per determinati soggetti (punti 4 e
5).
L'attuale normativa di
riferimento prescrive, quindi, ai fornitori di servizi di comunicazione
elettronica di conservare, per finalità di accertamento e repressione
di reati, i dati relativi al traffico telefonico, inclusi quelli concernenti
le chiamate senza risposta, e i dati relativi al traffico telematico, esclusi
comunque i contenuti delle comunicazioni, rispettivamente per ventiquattro e
sei mesi (art. 132, comma 1 del Codice).
Prescrive, inoltre, agli stessi
fornitori di conservare tali dati per un periodo ulteriore, rispettivamente
di ventiquattro e sei mesi, per l'accertamento e la repressione dei delitti
tassativamente individuati dall'art. 407, comma 2, lett. a), c.p.p., nonché
dei delitti in danno di sistemi informatici o telematici (art. 132, comma 2).
Infine, prevede che la
conservazione dei predetti dati sia effettuata nel rispetto di specifiche
misure ed accorgimenti a garanzia degli interessati. L'individuazione
di tali cautele è stata demandata al Garante per la protezione dei
dati personali (cfr. artt. 17 e 132, comma 5 del Codice).
2.3. Direttiva 2006/24/CE
Al fine di armonizzare le disposizioni degli Stati membri sul tema della
conservazione dei dati di traffico a fini di indagine, accertamento e
perseguimento di reati, è intervenuta anche la direttiva n. 2006/24/Ce
del Parlamento europeo e del Consiglio del 15 marzo 2006, al cui recepimento
il legislatore italiano è tenuto a provvedere entro il 15 settembre
2007.
Tale direttiva, pur non essendo
direttamente applicabile nello Stato, contiene chiare e
precise indicazioni sul risultato atteso a livello
comunitario in ordine, tra l'altro, alla corretta ed uniforme individuazione
delle "categorie di dati da conservare",
analiticamente individuate all'art. 5 della direttiva medesima, in relazione
agli specifici servizi ivi enucleati, ossia telefonia di rete fissa e
telefonia mobile, accesso Internet, posta elettronica su Internet e telefonia
via Internet.
Per tali ragioni, si ritiene
necessario tenere conto, in questa sede, di tali indicazioni. Ciò,
anche in considerazione del fatto che l'attuale quadro normativo di
riferimento, pur fornendo una definizione generale di "dati relativi al
traffico" (art. 4, comma 2, lett. h) del Codice), non distingue i dati
relativi al traffico "telefonico" da quelli relativi al traffico
"telematico" né li enumera.
Tale distinzione risulta,
invece, necessaria in considerazione del fatto che il legislatore italiano,
diversamente da quello comunitario, ha individuato due diversi periodi di
conservazione in relazione alla natura "telefonica" o
"telematica" del dato da conservare.
Si procederà, pertanto, a
chiarire l'ambito soggettivo di applicazione dell'obbligo di conservazione
dei dati, che risulta funzionale anche alla corretta definizione dei dati da
conservare.
3. Ambito soggettivo di
applicazione
Il "fornitore" sul quale incombe l'obbligo di conservazione ai
sensi dell'art. 132 del Codice è il soggetto che mette a disposizione
del pubblico servizi di comunicazione elettronica su reti pubbliche di
comunicazione, laddove per "servizi di comunicazione elettronica" debbono
intendersi quelli consistenti esclusivamente o prevalentemente "nella
trasmissione di segnali su reti di comunicazione elettroniche" (art. 4,
comma 2, lett. d) e e), del Codice).
Ciò, deriva non solo
dalla collocazione della citata norma all'interno del Titolo X, capo I, del
Codice e, in particolare, da quanto espressamente disposto dal citato art.
121 del Codice. Ma anche da quanto stabilisce il c.d. "Pacchetto
Pisanu", laddove si riferisce, nell'imporre la conservazione dei dati
per il predetto regime transitorio, ai "fornitori di una rete pubblica
di comunicazioni o di un servizio di comunicazione elettronica accessibile al
pubblico".
Posto quanto sopra, si ritiene
siano tenuti alla conservazione dei dati ai sensi dell'art. 132 cit., i soggetti che
realizzano esclusivamente o prevalentemente una trasmissione di segnali su
reti di comunicazioni elettroniche, a prescindere dall'assetto proprietario
della rete e che offrono servizi a utenti finali secondo il principio di non
discriminazione (cfr. direttiva 2002/22/CE del Parlamento
europeo e del Consiglio relativa al servizio universale e ai diritti degli
utenti in materia di reti e di servizi di comunicazione elettronica e d. lg.
n. 259/2003, Codice delle comunicazioni elettroniche).
Al contrario, potrebbero non rientrare nell'ambito
applicativo del provvedimento:
i soggetti che offrono servizi
di comunicazione elettronica a gruppi delimitati di persone
(come, a titolo esemplificativo, i soggetti pubblici o privati che consentono
soltanto a propri dipendenti e collaboratori di effettuare comunicazioni
telefoniche o telematiche);
i soggetti che, pur offrendo
servizi di comunicazione elettronica accessibili al pubblico, non generano o
trattano direttamente i relativi dati di traffico (9), ma che dovranno conservare
direttamente un'idonea documentazione attestante che la conservazione
effettuata per loro conto presso terzi sia svolta in conformità a
quanto previsto nel provvedimento medesimo;
i titolari e i gestori di esercizi
pubblici o di circoli privati di
qualsiasi specie, che si limitino a porre a disposizione del pubblico, dei
clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni,
anche telematiche, ovvero punti di accesso ad Internet utilizzando tecnologia
senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente
alla telefonia vocale (10);
i gestori dei siti Internet che
diffondono contenuti sulla rete
(c.d. "content
provider" ); i dati relativi a tale traffico degli utenti
che accedono a questi siti sono infatti qualificabili come
"contenuti", esclusi espressamente dall'obbligo di conservazione
dall'art. 132 del Codice (11);
i gestori di motori di ricerca; i dati di traffico telematico che essi trattano,
consentendo di effettuare agevolmente il tracciamento delle operazioni
compiute dall'utente in rete, sono infatti parimenti qualificabili alla
stregua di "contenuti".
4. Ambito oggettivo di
applicazione
L'obbligo
di conservazione riguarda
i dati relativi al traffico telefonico, inclusi quelli concernenti le
chiamate senza risposta, e i dati relativi al traffico telematico, esclusi
comunque i contenuti delle comunicazioni (art. 132 del Codice). In
particolare, oggetto di conservazione sono i dati che i fornitori
sottopongono a trattamento per la trasmissione della comunicazione o per la
relativa fatturazione (art. 4, comma 2, lett. h), del
Codice).
Pertanto, i fornitori
(così come individuati nel precedente paragrafo 3) devono conservare,
per esclusive finalità di accertamento e repressione di reati, solo i dati di
traffico che risultano nella loro disponibilità in quanto derivanti da
attività tecniche strumentali alla resa di un servizio, nonché alla
sua fatturazione.
In tal senso, si esprime anche
il c.d. Pacchetto Pisanu che, all'art. 6, riconduce l'obbligo di
conservazione alle "informazioni che consentono la tracciabilità degli
accessi, nonché, qualora disponibili, dei servizi".
Ed ancora,
la direttiva 2006/24/Ce ribadisce che tale obbligo sussiste soltanto se i
dati sono stati "generati o trattati nel processo di fornitura di un
[…] servizio
di comunicazione" del fornitore (12).
L'art. 5 di tale direttiva
contiene, poi, un'elencazione specifica delle informazioni da conservare e
individua diverse categorie di dati di traffico, specificandone i contenuti a
seconda che si tratti di traffico telefonico o telematico.
Nell'ambito dei servizi di
comunicazione elettronica, occorre infatti distinguere i servizi
"telefonici" da quelli "telematici".
Nei primi
possono essere ricompresi:
le chiamate telefoniche, incluse
le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione
dati tramite telefax;
i servizi supplementari, inclusi
l'inoltro e il trasferimento di chiamata;
la messaggeria e i servizi
multimediali, inclusi i servizi di messaggeria breve-sms. (13)
Nei secondi possono essere
ricompresi:
l'accesso alla rete Internet;
la posta elettronica;
i fax e i messaggi sms e mms via
Internet;
la telefonia via Internet (cd. Voice over Internet Protocol–VoIP ).
Nell'allegato 1 sono riportati i dati di
traffico che, alla luce del quadro normativo sopra descritto, devono essere
oggetto di conservazione ai sensi dell'art. 132 del Codice, in relazione allo
specifico servizio di comunicazione elettronica offerto.
5. Le finalità
Il vincolo secondo cui i dati conservati obbligatoriamente per legge possono
essere utilizzati solo per finalità di accertamento e repressione di
reati (individuati peraltro specificamente per il predetto secondo periodo di
conservazione) comporta una precisa limitazione per i fornitori
nell'eventualità in cui ricevano richieste volte a perseguire
ulteriori scopi.
Ad esempio:
a) i medesimi fornitori non
possono corrispondere ad eventuali richieste riguardanti tali dati formulate
nell'ambito di una controversia civile, amministrativa e contabile;
b) sono tenuti a rispettare
il predetto vincolo di finalità anche l'interessato che acceda ai dati
che lo riguardano esercitando il diritto di accesso di cui all'art. 7 del
Codice (e che può utilizzare quindi i dati acquisiti solo in
riferimento alle predette finalità penali), nonché, nel procedimento
penale, il difensore dell'imputato, della persona sottoposta alle indagini,
della persona offesa e delle altre parti private (art. 132, comma 3, del
Codice).
6. Modalità di
acquisizione dei dati
Il Codice individua altresì le modalità con le quali possono
essere acquisiti i dati di traffico conservati dai fornitori, prescrivendo,
con riferimento al primo periodo di conservazione (i primi ventiquattro mesi
e sei mesi, rispettivamente per il traffico telefonico e telematico), che la
richiesta sia formulata con "decreto motivato del pubblico ministero
anche su istanza del difensore dell'imputato, della persona sottoposta alle
indagini, della persona offesa e delle altri parti private" (art. 132,
comma 3, del Codice).
Al difensore dell'imputato o
della persona sottoposta alle indagini è riconosciuta la
possibilità di richiedere, direttamente, al fornitore i dati di
traffico limitatamente ai dati che si riferiscano "alle utenze intestate
al proprio assistito". La richiesta deve essere effettuata "con le
modalità indicate dall'articolo 391-quater del codice di procedura
penale, ferme restando le condizioni di cui all'articolo 8, comma 2, lettera
f), per il traffico entrante" (art. 132, comma 3, cit.). Tale ultimo
riferimento ai presupposti previsti dal Codice per l'accesso alle chiamate in
entrata comporta, anche, la necessaria valutazione preliminare, da parte dei
fornitori, della circostanza che dalla mancata conoscenza dei dati richiesti
possa derivare un pregiudizio effettivo e concreto per lo svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397. A tal
riguardo, si richiama quanto rilevato nel provvedimento adottato dal Garante
in materia il 3 novembre 2005 ,
consultabile sul sito dell'Autorità (doc. web n. 1189488 ).
In relazione al secondo periodo di conservazione, il comma 4 dell'art. 132
prevede che i dati conservati possano essere acquisiti soltanto in presenza
di un decreto motivato del giudice, che autorizzi l'acquisizione qualora
ritenga sussistenti sufficienti indizi dei delitti previsti dall'art. 407,
comma 2, lettera a), c.p.p., nonché di quelli in danno di sistemi informatici
o telematici.
7. Misure e accorgimenti da
prescrivere
A seguito degli approfondimenti anche tecnici svolti nell'ambito e dopo
diversi accertamenti ispettivi effettuati presso primari fornitori di servizi
di comunicazione elettronica, sono state individuate misure e accorgimenti da
porre a garanzia degli interessati nell'ambito della conservazione dei dati
di traffico per finalità di accertamento e repressione di reati.
Tali cautele si pongono,
ovviamente, senza pregiudizio di ogni altra misura di sicurezza che ciascun
fornitore deve adottare ai sensi degli artt. 31 e ss. del Codice, e saranno
oggetto di periodico aggiornamento in relazione allo sviluppo tecnologico.
Le misure e gli accorgimenti
allo stato individuati dal Garante sono riportati nell' allegato 2 .
Il Garante si riserva di
stabilire il termine entro il quale le prescrizioni che saranno impartite
dall'Autorità dovranno essere attuate dai fornitori, termine che allo
stato risulta comunque congruo prevedere in un quadrimestre (semestre). Il
Garante si riserva altresì di individuare alcuni trattamenti da
notificare all'Autorità ai sensi dell'art. 37, comma 2, del Codice.
ALLEGATO
1
(Dati
di traffico oggetto di conservazione alla luce della direttiva 2006/24/Ce)
Dati generati o trattati nell'ambito
dei servizi telefonici
Con riferimento ai servizi telefonici, i
fornitori sono tenuti a conservare i dati di traffico, compresi quelli
relativi alle chiamate senza risposta, necessari a individuare:
l'origine
della comunicazione (numero telefonico chiamante, nome e indirizzo
dell'abbonato o utente registrato);
la destinazione
della comunicazione (il numero o i numeri telefonici chiamati e, nei casi di
servizi supplementari come l'inoltro o il trasferimento di chiamata, il
numero o i numeri cui la chiamata è trasmessa);
i riferimenti temporali della
comunicazione (data e ora di inizio e fine della
comunicazione);
il tipo
di comunicazione effettuata (servizio telefonico utilizzato);
le tipologie di apparecchiature
per la comunicazione, anche presunte, impiegate dagli utenti nella telefonia
mobile: International Mobile Subscriber Identity (IMSI) e International
Mobile Equipment Identity (IMEI) del chiamante e del chiamato;
nel caso di servizi prepagati anonimi, data e ora dell'attivazione iniziale
della carta e etichetta di ubicazione (Cell ID) dalla quale è stata
effettuata l'attivazione;
l'ubicazione delle
apparecchiature mobili impiegate per la comunicazione (etichette di
ubicazione -Cell ID – all'inizio della comunicazione e dati per
identificare l'ubicazione geografica delle cellule, facendo riferimento alle
loro etichette di ubicazione nel periodo in cui vengono conservati i dati
sulle comunicazioni).
Dati generati o trattati nell'ambito
dei servizi telematici
Con riferimento ai servizi telematici,
occorre distinguere:
Accesso alla rete Internet
I fornitori sono tenuti a conservare i
dati necessari a individuare:
l'origine
della comunicazione, ovvero le informazioni identificative del punto di
accesso: nome e indirizzo dell'abbonato o dell'utente registrato al quale, al
momento della comunicazione, risultavano assegnati uno o più indirizzi
di protocollo Ip, un identificativo di utente o un numero telefonico;
la data,
l'ora
e la durata dell'accesso (data e ora del log-in
e del log-off
al servizio di accesso Internet) unitamente all'indirizzo Ip
o agli indirizzi Ip, dinamici o statici, assegnati dal fornitore di accesso
Internet e l'identificativo dell'abbonato o dell'utente registrato; nel caso
di accessi permanenti (in assenza di informazioni su log-in
e log-off
), gli indirizzi Ip, dinamici o statici, assegnati dal fornitore di accesso
Internet o comunque in uso nelle postazioni dell'abbonato o utente;
le attrezzature
di comunicazione, anche presunte, utilizzate dagli utenti: numero della linea
telefonica per l'accesso commutato tramite rete telefonica (dial-up
access); digital subscriber line number (DSL) o altro
identificatore di chi è all'origine della comunicazione, nel caso di
collegamenti su reti di tipo xDSL.
Posta elettronica
Relativamente ai messaggi spediti da
propri utenti o abbonati, i fornitori di servizi di posta elettronica
accessibili al pubblico sono tenuti a conservare i dati necessari a
individuare:
l'origine
della comunicazione (identificativo dell'utente o dell'abbonato al servizio,
indirizzo Ip utilizzato dalla postazione mittente e indirizzo di posta
elettronica del mittente);
la destinazione
della comunicazione (indirizzo di posta elettronica del destinatario del
messaggio e indirizzo Ip e nome a dominio pienamente qualificato del mail exchanger
host a cui è stato trasmesso il messaggio, nel caso della
tecnologia SMTP);
la data
e l'ora della comunicazione.
Telefonia, invio di fax, sms e mms via Internet
I fornitori sono tenuti a conservare i
dati necessari a individuare:
la fonte
della comunicazione: indirizzo Ip ed eventuale identificativo dell'utente
registrato; eventuale numero telefonico e dati anagrafici dell'utente
registrato;
la destinazione
della comunicazione: numero chiamato e, nei casi di servizi supplementari
come l'inoltro o il trasferimento di chiamata, numero o numeri a cui la
chiamata è trasmessa;
la data,
l'ora
e la durata della comunicazione: data e ora di inizio e
fine della comunicazione;
il tipo
di comunicazione effettuata: il servizio utilizzato.
ALLEGATO
2
Prescrizioni
tecnico-organizzative
Sistemi
di autenticazione
Il trattamento dei dati di traffico telefonico e telematico oggetto delle
prescrizioni del Garante è consentito agli incaricati solo previo
utilizzo di specifici sistemi di autenticazione informatica basati su
tecniche di strong authentication, consistenti nell'uso combinato di
almeno due differenti tecnologie di autenticazione. Una di tali tecnologie
deve essere inoltre basata sull'elaborazione di caratteristiche biometriche.
Si può eventualmente
prescindere da tali sistemi solo per i trattamenti effettuati nello
svolgimento di mansioni tecniche di gestione dei sistemi e delle
apparecchiature informatiche, per i quali resta fermo l'obbligo di assicurare
le misure in tema di credenziali di autenticazione previste dall'Allegato B)
al Codice in materia di protezione dei dati personali.
Sistemi di autorizzazione
Relativamente ai sistemi di autorizzazione devono essere adottate specifiche
procedure in grado di garantire la separazione rigida delle funzioni tecniche
di assegnazione di credenziali di autenticazione e di individuazione dei
profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e
delle basi di dati. Tali differenti funzioni non possono essere attribuite
contestualmente a uno stesso soggetto o, comunque, nell'ambito della stessa
unità organizzativa.
I profili di autorizzazione da
definire e da attribuire agli incaricati devono differenziare le funzioni di
trattamento dei dati per finalità di accertamento e repressione dei
reati distinguendo, al loro interno, incaricati abilitati al trattamento dei
dati di cui al primo periodo di conservazione obbligatoria (art. 132, comma
1, del Codice), dagli incaricati abilitati al trattamento dei dati di cui al
secondo periodo di conservazione obbligatoria (art. 132, comma 2, del Codice)
e, infine, dalle funzioni di trattamento dei dati in caso di esercizio dei
diritti dell'interessato (art. 7 del Codice).
Conseguentemente, un incaricato
cui è attribuito un profilo di autorizzazione abilitante ad esempio al
trattamento dei dati di cui al primo periodo di conservazione obbligatoria
(art. 132, comma 1, del Codice) non può accedere, per ciò
stesso e direttamente, a dati il cui trattamento richieda il possesso del
profilo di autorizzazione relativo al secondo periodo di conservazione
obbligatoria (art. 132, comma 2, del Codice).
Conservazione separata
I dati di traffico conservati per finalità di accertamento e
repressione di reati vanno gestiti tramite sistemi informatici distinti
fisicamente da quelli utilizzati per gestire dati di traffico per altre
finalità, sia nelle componenti di elaborazione, sia di
immagazzinamento dei dati (storage).
Più specificamente, i
dati di traffico, i sistemi informatici e gli apparati di rete utilizzati per
i trattamenti devono essere separati da quelli utilizzati per le altre
funzioni aziendali ed essere altresì protetti contro il rischio di
intrusione mediante idonei strumenti di protezione perimetrale.
Le attrezzature informatiche
utilizzate per le finalità di giustizia di cui sopra devono essere
collocate all'interno di aree ad accesso selezionato e controllato. L'accesso
a tali aree deve avvenire previa identificazione e registrazione delle
persone ammesse, con indicazione dei motivi dell'accesso e dei relativi
riferimenti temporali, anche mediante l'utilizzo di sistemi elettronici.
Nell'ambito dei trattamenti per scopi di accertamento e repressione di reati,
una volta decorso il termine di cui al comma 1 dell'art. 132 del Codice, i
dati di traffico devono essere trattati con modalità che consentano
l'accesso differenziato su base temporale, provvedendo a forme di separazione
dei dati che garantiscano il rispetto del principio di finalità dei
trattamenti.
La differenziazione può
essere ottenuta:
mediante separazione fisica,
predisponendo sistemi del tutto separati nelle componenti di elaborazione e
di archiviazione, oppure:
mediante misure e accorgimenti
informatici, intervenendo sulla struttura delle basi di dati, sui sistemi di
indicizzazione e sui metodi di accesso (separazione logica).
Devono essere adottate idonee
misure per garantire il ripristino dell'accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici in tempi
compatibili con i diritti degli interessati e non superiori a sette giorni.
Incaricati del trattamento
Gli incaricati che accedono ai dati di traffico conservati per le
finalità di cui all'art. 132 del Codice, anche per consentire
l'esercizio dei diritti di cui all'art. 7 del Codice, devono essere designati
specificamente.
Il processo di designazione deve
prevedere la frequenza di una periodica attività formativa concernente
l'illustrazione delle istruzioni, il rispetto delle misure di sicurezza e le
relative responsabilità. La partecipazione al corso deve essere
documentata.
Per quanto riguarda le richieste
per l'esercizio dei diritti di cui all'art. 7 del Codice che comportano
l'estrazione dei dati di traffico, nei limiti in cui ciò è
consentito ai sensi dell'art. 8, comma 2, lettera f) del Codice, il titolare
del trattamento deve conservare in forma specifica la documentazione
comprovante l'idonea verifica dell'identità del richiedente ai sensi
dell'art. 9 del Codice, e adottare opportune cautele per comunicare i dati al
solo soggetto legittimato in base al medesimo articolo.
Cancellazione dei dati
Allo scadere dei termini previsti dalle
disposizioni vigenti, i dati di traffico sono resi immediatamente non
disponibili per le elaborazioni dei sistemi informativi; sono altresì
cancellati o resi anonimi senza ritardo, in tempi tecnicamente compatibili
con l'esercizio delle procedure per la realizzazione di copie di sicurezza (backup
e disaster
recovery ) adottate dal titolare anche in applicazione di misure
previste dalla normativa vigente e, al più tardi, entro trenta giorni
successivi alla scadenza dei termini di cui all'art. 132 del Codice.
Altre misure
Audit log
Devono essere adottate soluzioni
informatiche idonee ad assicurare il controllo delle attività svolte
sui dati di traffico da ciascun incaricato del trattamento, quali che siano
la sua qualifica, le sue competenze e gli ambiti di operatività. Il
controllo deve essere efficace e dettagliato anche per i trattamenti condotti
su singoli elementi di informazione presenti sui diversi database
utilizzati.
Tali soluzioni comprendono la
registrazione, in un apposito audit log, delle operazioni
compiute, direttamente o indirettamente, sui dati di traffico e sugli altri
dati personali a essi connessi, sia quando consistono o derivano dall'uso
interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica
di programmi informatici.
I sistemi di audit log
devono garantire la completezza, l'immodificabilità,
l'autenticità delle registrazioni in essi contenute, con riferimento a
tutte le operazioni di trattamento e a tutti gli eventi relativi alla
sicurezza informatica sottoposti ad auditing. A tali scopi devono essere
adottati, per la registrazione dei dati di auditing, anche in forma
centralizzata per ogni impianto di elaborazione o per datacenter,
sistemi di scrittura non alterabili su dispositivi di tipo WORM (write
once/read many). Prima della scrittura, i dati o i raggruppamenti
di dati devono essere sottoposti a procedure per attestare la loro
integrità, basate sull'utilizzo di tecnologie crittografiche e di
firma digitale.
Audit interno–Report periodici
La gestione dei dati di traffico per
finalità di accertamento e repressione di reati deve essere oggetto,
con cadenza almeno annuale, di un'attività di controllo interno da
parte dei titolari del trattamento, in modo che sia verificata costantemente
la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti
i trattamenti dei dati di traffico previste dalle norme vigenti e dal
provvedimento del Garante, anche per ciò che riguarda la verifica
della particolare selettività degli incaricati legittimati.
L'attività di controllo
deve essere demandata ad un'unità organizzativa diversa rispetto a
quella cui è affidato il trattamento dei dati per la finalità
di accertamento e repressione dei reati.
I controlli devono comprendere
anche verifiche sulla legittimità e liceità degli accessi ai
dati effettuati dagli incaricati del trattamento utilizzando, a tale scopo,
strumenti di analisi dei log registrati, anche tramite
l'introduzione di sistemi di segnalazione automatica di comportamenti
"anomali" rispetto al normale profilo di utilizzo del sistema da
parte degli operatori (es.: interrogazioni massive non giustificate,
reiterate interrogazioni nei confronti di una medesima anagrafica in un
limitato lasso di tempo, interrogazioni effettuate al di fuori del normale
orario di servizio). Sono svolte, altresì, verifiche periodiche
sull'effettiva cancellazione dei dati decorso i periodi di conservazione.
L'attività di controllo
deve essere adeguatamente documentata in modo tale che sia sempre possibile
risalire ai sistemi verificati, alle operazioni tecniche su di essi
effettuate, alle risultanze delle analisi condotte sugli accessi e alle
eventuali criticità riscontrate.
L'esito dell'attività di
controllo deve essere:
comunicato alle persone e agli
organi legittimati ad adottare decisioni e ad esprimere, a vari livelli in
base al proprio ordinamento interno, la volontà della società;
richiamato nell'ambito del
documento programmatico sulla sicurezza (quando deve essere redatto come
misura minima di sicurezza) nel quale devono essere indicati gli interventi
eventualmente necessari per adeguare le misure di sicurezza;
messo, a richiesta, a
disposizione del Garante o dell'autorità giudiziaria.
Documentazione dei sistemi
informativi
I sistemi informativi utilizzati per il trattamento dei dati di traffico
devono essere documentati in modo idoneo secondo i princìpi
dell'ingegneria del software, evitando soluzioni documentali non
corrispondenti a metodi descrittivi standard o di ampia accettazione.
La descrizione deve comprendere,
per ciascun sistema applicativo, l'architettura logico-funzionale,
l'architettura complessiva e la struttura dei sistemi utilizzati per il
trattamento, i flussi di input/output dei dati di traffico da
e verso altri sistemi, l'architettura della rete di comunicazione, l'elenco
di tutti i soggetti aventi legittimo accesso al sistema.
La documentazione va corredata
con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve
risultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati i
dati per le finalità di accertamento e repressione di reati.
La documentazione tecnica deve
essere aggiornata costantemente e messa a disposizione dell'Autorità
su sua eventuale richiesta.
Cifratura e protezione dei dati
I dati di traffico vanno protetti con
strumenti di cifratura, in particolare contro rischi di acquisizione fortuita
derivanti da operazioni di manutenzione sugli apparati informatici o da
ordinarie operazioni di amministrazione di sistema. In particolare, devono
essere adottate soluzioni basate su tecnologie crittografiche che rendano le
informazioni residenti nelle basi di dati a servizio delle applicazioni
informatiche utilizzate per i trattamenti, nella loro interezza o in forma
parziale, non intelligibili a chi non disponga di diritti di accesso e
profili di autorizzazione idonei.
Tale misura deve essere efficace
per evitare che incaricati di mansioni tecniche accessorie ai trattamenti
(amministratori di sistema, data base administrator e
manutentori hardware e software ) possano accedere
indebitamente alle informazioni registrate, anche fortuitamente, acquisendone
conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di
altro genere.
I flussi di trasmissione dei
dati di traffico tra sistemi informatici devono aver luogo tramite protocolli
di comunicazione sicuri, basati su tecniche crittografiche.
(1) Corte cost. 26 febbraio-11 marzo
1993, n. 81.
(2) Ciò, a prescindere dalle
garanzie previste dall'art. 15 della Costituzione che, secondo la menzionata
giurisprudenza costituzionale, operano comunque, anche fuori dei casi di
intercettazione legale.
(3) Cfr. Considerando 15 direttiva n.
2002/58/Ce: "Una comunicazione può comprendere qualsiasi informazione
relativa al nome, al numero e all'indirizzo fornita da chi emette la
comunicazione o dall'utente di un collegamento al fine di effettuare la
comunicazione. I dati relativi al traffico possono comprendere qualsiasi
traslazione dell'informazione da parte della rete sulla quale la
comunicazione è trasmessa allo scopo di effettuare la trasmissione. I
dati relativi al traffico possono tra l'altro consistere in dati che si
riferiscono all'instradamento, alla durata, al tempo o al volume di una
comunicazione, al protocollo usato, all'ubicazione dell'apparecchio terminale
di chi invia o riceve, alla rete sulla quale la comunicazione si origina o
termina, all'inizio, alla fine o alla durata di un collegamento. Possono
anche consistere nel formato in cui la comunicazione è trasmessa dalla
rete".
(4) Cfr. art. 5, paragrafo 1, direttiva
n. 2002/58/Ce: "Gli Stati membri assicurano, mediante disposizioni di legge
nazionali, la riservatezza delle comunicazioni effettuate tramite la rete
pubblica di comunicazione e i servizi di comunicazione elettronica
accessibili al pubblico, nonché dei relativi dati sul traffico
[...]".
(5) Art. 6, paragrafo 2, direttiva n.
2002/58/Ce: "I dati relativi al traffico che risultano necessari ai fini
della fatturazione per l'abbonato e dei pagamenti di interconnessione possono
essere sottoposti a trattamento. Tale trattamento è consentito solo
sino alla fine del periodo durante il quale può essere legalmente
contestata la fattura o preteso il pagamento".
(6) Art. 6, paragrafo 3, direttiva n.
2002/58/Ce: "Ai fini della commercializzazione dei servizi di comunicazione
elettronica o per la fornitura di servizi a valore aggiunto, il fornitore di
un servizio di comunicazione elettronica accessibile al pubblico ha
facoltà di sottoporre a trattamento i dati di cui al paragrafo 1 nella
misura e per la durata necessaria per siffatti servizi, o per la
commercializzazione, sempre che l'abbonato o l'utente a cui i dati si
riferiscono abbia dato il proprio consenso. Gli abbonati o utenti hanno la
possibilità di ritirare il loro consenso al trattamento dei dati
relativi al traffico in qualsiasi momento".
(7) Art. 6, paragrafo 5, direttiva n.
2002/58/Ce: "Il trattamento dei dati relativi al traffico ai sensi dei
paragrafi da 1 a 4 deve essere limitato alle persone che agiscono sotto
l'autorità dei fornitori della rete pubblica di comunicazione
elettronica e dei servizi di comunicazione elettronica accessibili al
pubblico che si occupano della fatturazione o della gestione del traffico,
delle indagini per conto dei clienti, dell'accertamento delle frodi, della
commercializzazione dei servizi di comunicazione elettronica o della
prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato
a quanto è strettamente necessario per lo svolgimento di tali
attività".
(8) Tale articolo integra le previsioni
dell'articolo 6 della direttiva 95/46/Ce, che stabilisce: "Gli Stati
membri dispongono che i dati personali devono essere: […] e) conservati
in modo da consentire l'identificazione delle persone interessate per un arco
di tempo non superiore a quello necessario al conseguimento delle
finalità per le quali sono rilevati o sono successivamente trattati.
Gli Stati membri prevedono garanzie adeguate per i dati personali conservati
oltre il suddetto arco di tempo per motivi storici, statistici o
scientifici".
(9) Cfr. il considerando 23 della
direttiva 2006/24/Ce.
(10) Essi sono comunque tenuti al
rispetto delle specifiche misure e degli accorgimenti prescritti dal d.l. n.
144/2005, nonché dal decreto ministeriale 16 agosto 2005, in G.U. 17 agosto
2005, n. 190. Ciò, con riferimento ai dati registrati per il
monitoraggio delle operazioni degli utenti previsto dall'art. 2 del predetto
decreto ministeriale.
(11) Cfr. anche il considerando 13 e
art. 1, comma 2, direttiva 2006/24/Ce, a mente del quale tale direttiva "non si
applica al contenuto delle comunicazioni elettroniche, ivi incluse le informazioni
consultate utilizzando una rete di comunicazione elettronica".
(12) Cfr. il considerando n. 23,
direttiva 2006/24/Ce, cit.
(13) Cfr. art. 2, comma 2, lett.
c), direttiva 2006/24/Ce.
|