Conservazione dati: scadenza 30 giugno 2009

Andrea ButiIl d.lgs. 109/2008 (Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione relativa e incidente sulla direttiva 2002/58/CE) all’art. 4 prevede tra i diversi adempimenti, anche una comunicazione “riassuntiva” alla Commissione Europea per il tramite del Ministero di Giustizia. La norma – rubricata Autorità di controllo ed informazioni di tipo statistico – prevede, infatti, che “I fornitori di servizi di cui al presente decreto entro il 30 giugno, inviano annualmente al Ministero della giustizia, per il successivo inoltro alla Commissione europea, le informazioni relative:

a) al numero complessivo dei casi in cui sono stati forniti i dati relativi al traffico telefonico o telematico alle autorità competenti conformemente alla legislazione nazionale applicabile;

b) al periodo di tempo trascorso fra la data della memorizzazione dei dati di traffico e quella della richiesta da parte delle autorità competenti;

c) ai casi in cui non è stato possibile soddisfare le richieste di accesso ai dati”.

L’adempimento è obbligatorio entro il prossimo 30 giugno 2009, i dubbi si affollano: per questo vorrei condividere alcune riflessioni.

Il termine “casi” invero non assume né possiede – normalmente – un significato tecnico nell’ambito del nostro ordinamento giuridico. Ciò non di meno, compito del giurista è quello di reperire comunque un senso congruo al tenore della norma ed alla ratio sottesa. Considerando, allora, la finalità della legge e la problematica, in genere, della data retention, pare ragionevole supporre che con detta espressione debbano ricomprendersi i “fascicoli” relativi a procedimenti giudiziari comunque pendenti presso Uffici Giudiziari. Si potrebbe suggerire, pertanto, di compilare un elenco in cui siano indicati (per pertinenza e non eccedenza ai sensi del d.lgs 196/03):

1) il numero di procedimento ivi riportato (poco rileva se sia uno o l’altro dei plurimi riportati nelle comunicazioni: di solito dovrebbe essere ben visibile un campo indicato come “R.G.N.R.” o “Ruolo Generale” o “Cron.”. “Mod…” o equivalenti)

2) se trattasi di traffico telefonico o telematico

3) l’autorità richiedente

Per quel che concerne il fattore “tempo”, sempre seguendo la finalità della legge, si dovrebbe dedurre che queste informazioni debbano essere speculari e corrispondenti a quelle fornite ai punti che precedono, anche perché se si facesse un unica complessiva valutazione… la previsione perderebbe di senso (indice di pessima interpretazione…) Si potrebbe pensare ad aggiungere un ulteriore colonna a fianco dei dati sopra riportati (magari realizzando una tabella o ad un foglio elettronico).

Peraltro, un’attenzione particolare va dedicata all’autorità richiedente:

Ai sensi dell’art. 132 del codice privacy (così come modificato dal d.l. poi convertito in legge 45/2004), infatti, i dati di cui si sta parlando (vedi riferimenti sotto) “sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all’articolo 8, comma 2, lettera f), per il traffico entrante”. Dunque i tabulati sia di traffico Internet che telefonico vanno forniti solo se c’è un decreto motivato del Pubblico Ministero. Per essere chiari: la richiesta fatta solo dalla Polizia Giudiziaria che chiede tali dati senza indicare il decreto del P.M. non pare conforme al dettato legislativo. Come riconosciuto da una parte della giurisprudenza, anche prima dell’entrata in vigore della l. 45/2004, infatti, anche i dati cd. “esteriori” di una comunicazione (non il suo contenuto) meritano una tutela attesa la previsione di cui all’art. 15 della Costituzione. Oggi addirittura c’è uno specifico articolo di legge.

Potrebbe però capitare di vedere richieste solo su iniziativa della Polizia Giudiziaria (tra cui la polizia delle comunicazioni, GAT,…) “irrituali”: debbono essere riscontrate?

A mio avviso andrebbero riscontrate, precisando che “in mancanza del decreto motivato del P.M. di cui all’art. 132 del d. lgs. 196/2003 il sottoscritto l’ISP (o operatore telefonico) non può procedere alla comunicazione dei dati richiesti”.

Anche perché, indirettamente, in mancanza di tale puntualizzazione tali soggetti potrebbero essere ritenuti responsabili per aver fornito dei dati senza le doverose garanzie di legge, esponendosi così ad una potenziale richiesta di danni (richiesta “facilitata” dall’essere il trattamento di dati configurato dalla legge come un attività pericolosa, con conseguente sostanziale “inversione dell’onere della prova” in favore dell’interessato).

Con riferimento a quanto previsto al punto c), infine, si dovrebbero riportare semplicemente i casi in cui non è stato possibile soddisfare la richiesta, magari perché il periodo era eccedente quello richiesto per la conservazione dei dati, o perché non c’erano sufficienti indicazioni che permettessero di rintracciare un determinata risorsa. Una risorsa umana, con nome e cognome o virtuale, ma rappresentata da un IP statico (non dinamico, considerato che gli ISP dovrebbero aver optato per “l’effettiva univocità degli indirizzi di protocollo internet entro novanta giorni dalla data di entrata in vigore” del decreto), da un numero di telefono, un indirizzo o account email o “nome a dominio pienamente qualificato del mail exchanger host, nel caso della tecnologia SMTP ovvero di qualsiasi tipologia di host relativo ad una diversa tecnologia utilizzata per la trasmissione della comunicazione”, numero IMEI o quant’altro specificato all’art. 132 del codice come modificato dal provvedimento in esame). Tra questi casi, dovrebbero essere indicate anche quelle richieste irrituali di cui al punto che precede… con la conseguenza che gli stessi cybercop sarebbero “controllati” dal Ministero o dalla Commissione europea in merito alla “qualità”, tipologia, numerosità e ritualità dell’operato. Non so se questo era lo scopo della norma, ma direi che ne è un effetto implicito evidente quanto d’altronde la tracciabilità delle attività di indagini informatiche in generale…

Per quanto riguarda la sede del Ministero, mancando esplicite indicazioni, si dovrebbe inviare un plico alla sede centrale, ovviamente con Raccomandata a.r.

Supponendo infine, che chi l’andrà ad aprire non necessariamente dovrà avere molte idee su cosa riguardi, potrebbe essere preferibile specificare che l’inoltro viene fatto “in ottemperanza all’obbligo previsto dall’art. 4 del d. lgs. 109/2008, si inviano in allegato n. 2 tabelle contenenti i dati richiesti dalla citata normativa. Con preghiera di volerne curare l’inoltro alla Commissione Europea come previsto al comma 2 della medesima disposizione legislativa”.

Le considerazioni che precedono sono frutto di una prima interpretazione “a caldo” (oltre che per la temperatura esterna) a ridosso della scadenza e salvo italianissime proroghe; se fossero farlocche… gli ISP potranno sempre dire che le ha dette un avvocato. Almeno sotto il profilo della colpa potranno sperare di essere “graziati”!

Il dibattito è aperto, il commento è gradito: almeno per il 30 si potrà aggiustare il tiro..

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *