Bocciata la data retention: e ora?

Corte di giustizia UE

La dichiarazione di non validità della Direttiva UE sulla Data Retention è una opportunità per l'Italia di proporre la convergenza tra Privacy e Security

di di Rigoni Andrea, Managing Partner di Intellium
Primo Piano Rigoni

L’8 Aprile 2014, la Corte di Giustizia dell’Unione Europea ha dichiarato non valida la direttiva Europea del 2006 sulla Data Retention (direttiva 2006/24/EC che emenda la direttiva 2005/58/EC).   La direttiva sulla Data Retention fu impostata come riposta agli attentati di Madrid di due anni prima.   Il governo italiano ha recepito la Direttiva Europea con il Decreto Legislativo n. 109 del 30 Maggio 2008.

La direttiva impone agli operatori di Telefonia di memorizzare i dati di traffico da un periodo che varia da sei mesi a due anni, con il fine di poter disporre di dati utili ai fini delle indagini. I dati di traffico soggetti al DL109/2008 sono quelli relativi alle telefonate, gli SMS e MMS e i dati di navigazione Internet. Il decreto modifica anche l’art. 132 del DL 196/2003, meglio conosciuto come Codice per la Protezione dei Dati Personali. Va notato che già la versione del 2003 conteneva all’art.132 una disposizione che obbligava gli operatori di telefonia di conservare i dati di traffico telefonico per un periodo pari a 30 mesi per finalità di accertamento e repressione dei reati.  La direttiva Europea è uno strumento importante per le attività di indagine: l’analisi dei cosiddetti tabulati telefonici, che può essere disposta solo da un PM o dalla Polizia Giudiziaria, ha fornito un aiuto prezioso e spesso sostanziale in numerosi casi. Non si pensi solamente alla prova di colpa, ma anche l’opposto: poter dimostrare di essere altrove.  Questi strumenti sono sono dimostrati particolarmente efficaci nella attività di indagine  e polizia giudiziaria per reati di mafia, terrorismo, sovversione, pedopornografia, ecc. Indagini che in futuro potrebbero contare su uno strumento in meno.  

Ma se è così importante, per quale motivo la Corte di Giustizia Europea ha ritenuto non valida la direttiva 2006/24/EC? Nelle motivazione si legge: “La Corte di Giustizia ritiene che, richiedendo la conservazione di quei dati e consentendo alle autorità nazionali competenti di potervi accedere, la direttiva interferisce in modo particolarmente serio con i diritti fondamentali del rispetto della vita privata e di protezione dei dati personali”. Inoltre la Corte aggiunge che la direttiva violi il principio di proporzionalità, pur riconoscendo che la direttiva affermi che la Data Retention debba essere fatta nel rispetto dei diritti fondamentali e riconoscendo anche il fine di soddisfare l’interesse generale attraverso il contrasto al crimine. I motivi quindi non sono chiari.  

C’è da dire che la direttiva 2006/24/EC ha dei limiti, su cui la Commissione e il Parlamento avrebbero potuto lavorare. Innanzi tutto rafforzare gli standard per la protezione dei dati e l’inserimento di tutele per evitare derive verso la sorveglianza di massa. L’altro limite è che al momento la direttiva non impone agli operatori di tenere i dati all’interno dei confini dell’Unione Europea.  Inoltre, questi obblighi si applicano esclusivamente agli operatori di telefonia e non agli OTT, i quali però offrono anch’essi servizi di Telefonia come Skype, Viber, FaceTime, ecc.  Inoltre, molti OTT fanno conservazione massiva di dati finalizzati al sostegno del loro business: basti pensare ai servizi di email, ai social network, ai servizi di e commerce, ecc.  

E’ quindi auspicabile che l’Italia, di concerto con l’Unione Europea, lavori per proporre i miglioramenti necessari alla Direttiva della Data Retention. L’Italia potrebbe farsi portavoce di una evoluzione indispensabile nel 2014: coniugare Privacy, Sicurezza e Usabilità. Sono pilastri fondamentali dell’Economia Digitale e uno non può e non deve escludere l’altro.  Non va dimenticato che tra i diritti fondamentali dell’Unione Europea citati dalla decisione della Corte di Giustizia vi è anche la Libertà e Sicurezza (art. 6  della Costituzione dei Diritti Fondamentali dell’Unione Europea).  Reagire ai recenti avvenimenti sulla sorveglianza di massa senza comprenderne la complessità e le implicazioni può portare a risultati peggiori di quelli per cui si è pensato l’intervento.  

Il Governo Italiano ha l’opportunità del Semestre Europeo e della Digital Agenda Assembly di Luglio per farsi portavoce di un modo nuovo di fare Digital Security, coniugando Privacy, Sicurezza e bisogni di usabilità dei cittadini e delle imprese. Si può fare e l’Italia ha la storia, la competenza e la visione per poter tornare ad essere in questo settore una guida. 

11 Aprile 2014

TAG: sicurezza cybercrime rigoni