Il "Data Protection Working Party" e la questione della conservazione dei dati di traffico.
di Giancarlo Barbon
***
Imporre ai providers la conservazione preventiva di tutti i dati di traffico (telefonico, Internet, di posta elettronica) è contrario alla Convenzione europea dei diritti umani. E questo a prescindere dal fatto che i dati sul traffico telefonico, Internet o di posta elettronica, siano stati richiesti per concrete esigenze di indagini giudiziarie e di polizia. Così si è espresso recentemente il Gruppo di Lavoro europeo sulla protezione dei dati personali ( "ARTICLE 29 Data Protection Working Party") con Parere n.9/2004 adottato il 9 Novembre 2004.
Il Parere rappresenta una ferma risposta alla proposta di decisione-quadro del Consiglio Ue presentata da quattro Paesi europei (Francia, Irlanda, Regno Unito, Svezia - doc. 8958/04 del 28 aprile 2004), volta ad obbligare i providers dei Paesi europei a conservare, per un periodo che varia dai 12 ai 36 mesi, tutti i dati di traffico e localizzazione utilizzati per fornire servizi di comunicazione (servizi di telefonia, compresi SMS e MMS, servizi internet, posta elettronica, voice-over-IP, FTP, servizi su banda larga), a prescindere dal fatto che ne sia stata richiesta copia a fini di prevenzione, indagini, accertamento e perseguimento di reati. I dati in questione sono quelli necessari ad identificare la fonte e la destinazione di una comunicazione, i servizi usufruiti, l’ora e la durata di una comunicazione, il tipo di comunicazione, l’apparecchiatura utilizzata e la localizzazione della comunicazione.
Il Data Protection Working Party mantiene dunque, in tema di conservazione dei dati relativi al traffico, una posizione irremovibile su alcuni principi fondamentali già richiamati alcuni anni fa in occasione delle Conferenze tenutesi a Stoccolma (aprile 2000) e ad Atene (maggio 2001) e ribaditi in diverse altre occasioni. Nelle Conferenze di Stoccolma ed Atene il Gruppo di lavoro aveva precisato che la conservazione dei dati relativi al traffico per un periodo lungo (“di un anno o più”), allo scopo di consentire l’eventuale accesso da parte delle forze dell’ordine e degli organismi preposti alla sicurezza, costituirebbe un’indebita compressione dei diritti fondamentali garantiti ai singoli dall’art. 8 della Convenzione europea sui diritti dell’uomo, così come ulteriormente sviluppati nella giurisprudenza della Corte europea dei diritti dell’uomo, oltre che degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea.
In una Dichiarazione dei Commissari europei per la protezione dei dati alla conferenza internazionale di Cardiff (9-11 settembre 2002), approvata dal Data Protection Working Party con Parere n.5/2002, era stato precisato sul punto che “la conservazione dei dati di traffico per scopi connessi all’attività delle forze dell’ordine dovrebbe essere conforme alle rigide condizioni previste dall’art.15 (1) della Direttiva – ossia, caso per caso, solo per un periodo limitato e purchè necessaria, opportuna e proporzionata all’interno di una società democratica. Pertanto, qualora sia necessario, in casi specifici, conservare dati di traffico, deve sussistere un’esigenza dimostrabile, il periodo di conservazione deve essere quanto più breve possibile e le relative modalità devono essere disciplinate con chiarezza attraverso disposizioni di legge, in modo da offrire garanzie sufficienti contro accessi non autorizzati ed ogni altro tipo di abuso. La conservazione sistematica di dati di traffico delle più svariate tipologie per un periodo di un anno o anche maggiore sarebbe evidentemente sproporzionata e, quindi, in ogni caso inaccettabile”. Tale Dichiarazione dava man forte ai principi stabiliti nella Direttiva 2002/58/CE, in materia di trattamento dei dati relativi al traffico (definiti all’art. 2 come “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione”).
Peraltro il ventiseiesimo considerando della Direttiva 2002/58/CE, con riguardo ai dati relativi al traffico nelle reti di comunicazione elettronica, forniva un ausilio interpretativo sulla questione, disponendo che tali dati “possono essere memorizzati solo nella misura necessaria per la fornitura del servizio ai fini della fatturazione e del pagamento per l’interconnessione, nonché per un periodo di tempo limitato” e che “ qualsiasi ulteriore trattamento di tali dati che il fornitore dei servizi di comunicazione elettronica accessibili al pubblico volesse effettuare per la commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto può essere autorizzato soltanto se l’abbonato abbia espresso il proprio consenso in base ad informazioni esaurienti ed accurate date dal fornitore dei servizi di comunicazione elettronica accessibili al pubblico circa la natura dei successivi trattamenti che egli intende effettuare e circa il diritto dell’abbonato di non dare o di revocare il proprio consenso al trattamento”.
Mentre la stessa Direttiva, all'art. 15, invitava gli Stati membri ad adottare disposizioni volte a limitare i diritti e gli obblighi inerenti al trattamento dei dati relativi al traffico “qualora tale restrizione costituisca, ai sensi dell’art. 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato (…)”.
Il Data Protection Working Party, intervenendo sulla questione con Parere n.1/2003, forniva alcune indicazioni interpretative degli articoli delle Direttive 97/66/CE e 2002/58/CE in tema di tutela e conservazione dei dati. In particolare, con riguardo al periodo di tempo durante il quale i dati relativi al traffico, originati dall’effettuazione delle comunicazioni elettroniche, potessero essere sottoposti a trattamento ai fini della fatturazione, precisava che tali dati dovrebbero essere conservati “per il periodo necessario a consentire il pagamento delle fatture e la composizione delle controversie” e comunque “per un periodo di memorizzazione massimo di 3-6 mesi e non più lungo in quei casi in cui le fatture sono state pagate e non sembrano essere state oggetto di contestazione o di richieste di delucidazioni (tenuto conto del diritto alla tutela della vita privata dei singoli abbonati)”. Il Gruppo di lavoro ribadiva che solo “in casi particolari di contestazione o di richiesta di delucidazioni i dati possono essere memorizzati per un periodo più lungo al fine di facilitare il pagamento della fattura” ed, ancora che, in tali casi particolari, “i periodi di memorizzazione dei dati devono essere valutati tenendo conto delle particolari circostanze di ogni singolo caso onde permettere la composizione delle controversie in corso”. Nel medesimo Parere, il Gruppo di lavoro metteva in evidenza che i dati memorizzati relativi al traffico dovessero limitarsi ai dati “necessari” e che “possono essere sottoposti a trattamento soltanto i dati che sono adeguati, pertinenti e non eccedenti in relazione alle finalità di fatturazione e dei pagamenti di interconnessione”.
Il legislatore italiano, dando attuazione all’art. 15 della Direttiva 2002/58, ha disciplinato la conservazione dei dati di traffico agli artt. 123 e art. 132 del Dlgs. 196/2003. Tale disciplina ha sofferto l’assenza di precise indicazioni normative europee sui tempi di conservazione dei dati di traffico, tanto da renderne necessaria una modifica con decreto legge n.354/03 (divenuto legge il 26 febbraio 2004) ,che ha portato ad un’integrale riformulazione dell’art. 132 del Dlgs. 196/2003, relativo alla conservazione dei dati di traffico per finalità di accertamento e repressione di reati. Il vecchio testo della norma stabiliva genericamente che “Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione di reati, secondo le modalità individuate con decreto del Ministro della giustizia, di concerto con i Ministri dell'interno e delle comunicazioni, e su conforme parere del Garante”. Il nuovo testo dell’art. 132 si articola in 5 commi che disciplinano in maniera dettagliata le operazioni di conservazione e di acquisizione al giudizio dei dati di traffico per finalità di accertamento e repressione di reati.
Il recente Parere (n.9/2004) del Data Protection Working Party va senza dubbio ad interferire con quanto disposto dai commi 2, 3 e 5 dell’art. 123 e dai commi 1 e 2 dell’art. 132, bollando come illegittima la conservazione per lunghi periodi, preventiva e routinaria, di tutti i dati relativi al traffico, anche nell’ipotesi in cui questi siano stati richiesti ai providers per concrete esigenze di indagini giudiziarie e di polizia. Un obbligo di conservare preventivamente per un certo periodo tutti i dati di traffico e localizzazione utilizzati dai providers per fornire servizi di comunicazione – afferma il Gruppo di lavoro - sarebbe contrario ai principi di proporzionalità, pertinenza e finalità specifica cui si deve ispirare ogni operazione di trattamento dei dati personali: nell’utilizzare i dati di traffico per finalità giudiziarie o di polizia è necessario rispettare la Convenzione europea dei diritti umani. L’art. 8 (2) della Convenzione stabilisce, infatti, che un’interferenza nella vita privata delle persone – che si verrebbe a realizzare imponendo ai providers un obbligo di conservare obbligatoriamente, per un periodo che varia dai 12 ai 36 mesi, tutti i dati di traffico e localizzazione utilizzati per fornire servizi di comunicazione – è ammissibile soltanto se ha un adeguato fondamento giuridico, se risponde a criteri di necessità nel quadro di una società democratica e se è conforme agli scopi legittimi previsti dalla Convenzione stessa.
Qualora fosse adottata la decisione-quadro del Consiglio Ue presentata da quattro Paesi europei (Francia, Irlanda, Regno Unito, Svezia - doc. 8958/04 del 28 aprile 2004), la sorveglianza delle comunicazioni, che dovrebbe essere un’eccezione mossa da una necessità (sicurezza nazionale, ordine pubblico, perseguimento di reati, etc…) si trasformerebbe in una pericolosa regola. Tutti gli utenti, e non solo i potenziali sospetti o i criminali, ne subirebbero le conseguenze, e verrebbero inevitabilmente violati i principi stabiliti dalla Convenzione europea sui diritti umani, nonché i principi generali che sono alla base della disciplina del trattamento dei dati personali.
Come reagirà il legislatore italiano, nonché i legislatori degli altri Paesi, a queste nuove precisazione del Data Protection Working Party?
avv. Giancarlo Barbon
giancarlo.barbon@lidis.it
www.lidis.it
|
