Data retention a fini di giustizia: ecco perché serve un nuovo regolamento Ue - Agenda Digitale

traffico telefonico e telematico

Data retention a fini di giustizia: ecco perché serve un nuovo regolamento Ue

È possibile un quadro normativo più equilibrato in fatto data retention? Si può superare la contraddizione di una tutela del copyright maggiore di quella accordata alle vittime di reati? Quali caratteristiche deve avere la conservazione dei metadati per le esigenze di sicurezza? Proviamo a capirne un po’ di più

23 Set 2021
Andrea Rossi

Dirigente superiore della Polizia di Stato

Lo scorso 2 agosto il Garante per la protezione dei dati personali ha inviato una segnalazione al Parlamento e al Governo con la quale chiede di valutare l’opportunità di una riforma della disciplina della conservazione dei dati di traffico telefonico e telematico a fini di giustizia. L’iniziativa non è nuova, ma sarebbe un errore inquadrarla in una sorta di routine istituzionale.

Stiamo infatti attraversando una fase molto travagliata del rapporto sicurezza-privacy: dopo la dichiarazione di illegittimità della direttiva 2006/24/Ce, neanche il GDPR ha dato indicazioni specifiche in materia, mentre la Corte di giustizia europea è stata molto attiva, con diverse pronunce a carico di normative nazionali vigenti o successivamente introdotte.

Trattamento dati giudiziari per arresto o fermo: ecco i paletti della Corte di Giustizia UE

Le pronunce della Corte europea in materia di data retention

Nei numerosi provvedimenti adottati dalla Corte, il filo logico di fondo è quello delineato nel 2014 con la dichiarazione di invalidità della direttiva Frattini. Nonostante alcuni aggiustamenti nel corso del tempo, non si è affatto attenuata una divergenza sempre più evidente: quella esistente tra legislatori e corti nazionali da una parte e Corte di Giustizia dell’Unione dall’altra. Se si allarga lo sguardo a decisioni relative a settori diversi le sorprese però non mancano, come vedremo più avanti.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

Il pensiero della Corte europea in materia di data retention può essere riassunto in questo modo:

  • limitazioni all’esercizio di diritti e libertà riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea, in particolare quelli sanciti negli articoli 7 (rispetto della vita privata e della vita familiare), 8 (protezione dei dati di carattere personale), 11 (libertà di espressione e d’informazione) sono possibili solo se previste dalla legge e rispettano il loro contenuto essenziale;
  • sono ammissibili limitazioni solo se necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui (art 52, par. 1 della Carta);
  • in linea generale, il diritto dell’Unione è contrario ad una conservazione generalizzata e indifferenziata dei dati di traffico, a tutela del principio di riservatezza;
  • è ammissibile una deroga a tale principio solo per salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica e per finalità di lotta contro la criminalità grave (oltre all’uso non autorizzato del sistema di comunicazione elettronica); in realtà, la Direttiva 2002/58 consente la deroga per la prevenzione, ricerca, accertamento e perseguimento di tutti i reati, ma la Corte ritiene che l’ingerenza nella riservatezza sia talmente grave da limitare l’acquisizione dei dati esterni solo per alcuni reati;
  • l’accesso delle autorità nazionali competenti ai dati conservati deve essere subordinato ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente, a garanzia della legittimità dell’acquisizione.

Quest’ultimo aspetto è stato approfondito nell’ultima sentenza delle Corte europea pubblicata il 2 marzo 2021 (causa C-746/18 -H.K./Prokuratuur) che ha valutato l’indipendenza del pubblico ministero estone, ritenendola non conforme ai principi normativi europei.

Le similitudini con il corrispondente organo giudiziario italiano sono molte ed, infatti, come illustrato nel precedente articolo pubblicato su questo sito lo scorso 20 maggio, il Tribunale di Rieti ha proposto alla Corte una questione pregiudiziale che verte sulla sua legittimazione ad acquisire i dati di traffico telefonico e telematico; non è quindi casuale la richiesta del Garante che il provvedimento in questione sia adottato in futuro dal GIP, anzichè dal PM, e ciò anche se Corte costituzionale e Corte di Cassazione hanno già valutato la normativa nazionale sul potere del PM conforme ai principi europei.

Il diritto alla sicurezza nella visione della Corte Ue e i limiti all’acquisizione dei metadati

C’è un punto debole nel ragionamento della Corte: il concetto di sicurezza utilizzato per la valutazione della proporzionalità. Si afferma, infatti (vedi, in particolare, la sentenza “La quadrature du net”, C-511/18) che l’articolo 5 della CEDU, che sancisce il «diritto alla libertà» e il «diritto alla sicurezza», “mira, secondo la giurisprudenza della Corte europea dei diritti dell’uomo, a proteggere l’individuo da qualsiasi privazione arbitraria o ingiustificata della libertà.” In questo modo le deroghe alla privacy possono essere minime: la sicurezza viene ridotta ad un ambito limitato, cioè la mera protezione dalla privazione ingiustificata della libertà, invece di assurgere, come in effetti dovrebbe, a precondizione per la pratica fruizione di tutti i diritti, compreso il diritto alla riservatezza. La responsabilizzazione resa possibile dalla data retention ha un ruolo cruciale per la sicurezza e, di conseguenza, per l’esercizio delle libertà.

È necessaria una precisazione: se, al di fuori dei casi di cui all’art 123 cod. privacy, l’acquisizione dei dati esterni è limitata al perseguimento della criminalità grave, è da escludere che ciò possa avvenire nell’ambito di procedimenti civili, amministrativi o contabili.

In verità, vi è stato in Italia un episodio in cui si è cercato di acquisire dagli Internet access provider i metadati in sede civile: si fa riferimento al caso Peppermint. Questa casa discografica tedesca, per contrastare coloro che si connettevano a reti peer to peer per scaricare materiali protetti dal diritto d’autore, aveva dato incarico ad una società di raccogliere con un apposito software i dati degli utenti connessi in rete (data e ora di connessione, Ip e nome del file condiviso) che condividevano opere tutelate in violazione del diritto di cui all’art. 16 della legge 22 aprile 1941, n. 633.

Raccolti i dati relativi ad utenti italiani, la casa discografica si è rivolta al Tribunale di Roma chiedendo un provvedimento d’urgenza ex art.156 bis, l. n. 633/41 per ottenere l’ostensione dei dati anagrafici degli assegnatari degli indirizzi Ip acquisiti. In un primo tempo la richiesta era stata accolta, successivamente, però, la giurisprudenza di merito, anche a seguito della costituzione in giudizio del Garante privacy, muta il suo orientamento e rigetta le richieste di provvedimenti d’urgenza poichè «non può ritenersi sussistere a carico del “provider” alcun obbligo di comunicazione ed estensione dei dati anagrafici… l’applicazione del combinato disposto degli art. 156 e 156 bis l. aut on. non è estensibile ai dati e informazioni che attengono alle comunicazioni “lato sensu” elettroniche, né ai dati di traffico da queste generate, visto l’espresso divieto che deriva sia dal sistema normativo interno (primario e costituzionale) sia da quello comunitario.» Il Garante, inoltre, con provvedimento 28 febbraio 2008, ribadiva che la disciplina della conservazione dei dati di traffico è prevista solo per finalità di accertamento e repressione di reati e la Direttiva europea sulle comunicazioni elettroniche vieta ai privati di poter effettuare monitoraggi, ossia trattamenti di dati massivi, nei riguardi di un numero elevato di soggetti.

Difesa del copyright vs criminalità “non grave”: le differenze nei trattamenti

Questi percorsi logici sono stati costantemente seguiti dalla Corte e dagli organismi deputati alla produzione normativa dell’Unione? In realtà, quando si prendono in considerazione scenari diversi da quelli direttamente legati alla data retention, la necessità di individuare i responsabili di una violazione prende il sopravvento, soprattutto in materia di copyright.

Già nel 2017 (sentenza del 14 giugno, Stichting Brein, C‑610/15) la Corte affermava che la normativa europea non osta a che gli Stati membri prevedano l’obbligo di trasmissione a soggetti privati di dati personali per consentire l’avvio, dinanzi ai giudici civili, di procedimenti per la violazioni del diritto d’autore, ma recentemente è arrivata a ribaltare il divieto di monitoraggio svolto da parte dei privati e l’impossibilità di acquisizione dai provider di dati personali. Lo scorso 17 giugno, la Corte si è infatti pronunciata su una questione che vedeva contrapposte la Mircom e l’access provider Telenet.

La Mircom era in possesso di migliaia di indirizzi IP dinamici, registrati per suo conto dalla Media Protector GmbH, al momento della connessione dei clienti della Telenet mediante il software di condivisione client-BitTorrent, aveva quindi ingiunto alla Telenet di produrre i dati identificativi dei suoi clienti che avevano condividso illegittimamente, su una rete peer-to-peer, film facenti parte del proprio catalogo.

Il problema riguardava la legittimità di due tipi di trattamenti: il primo, già stato effettuato, a monte, dalla Media Protector e per conto della Mircom, nell’ambito di reti peer-to-peer; il secondo che deve essere effettuato “a valle” dalla Telenet e consiste, da un lato, nell’identificazione di utenti attraverso un’attività di collegamento tra tali indirizzi IP e quelli che, in quel medesimo momento, la Telenet aveva attribuito a tali utenti per effettuare detto caricamento e, dall’altro, nella comunicazione alla Mircom dei nomi e degli indirizzi dei medesimi utenti. Non c’è dubbio che il primo si configura come trattamento massivo di dati e il secondo prevede l’accesso di metadati al di fuori della finalità del contrasto alla criminalità grave, ma in questa sede la Corte ha dato maggior risalto all’esigenza di individuare il responsabile di un illecito ed ha quindi stabilito che l’art. 6, paragrafo 1, primo comma, lettera f), del regolamento (UE) 2016/679 in combinato disposto con l’articolo 15, paragrafo 1, della direttiva2002/58/CE non ostano alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale nonché di un terzo per suo conto, di indirizzi IP di utenti di reti peer-to-peer le cui connessioni Internet sono state asseritamente utilizzate in attività di violazione, né alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare o a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile.

La decisione è ancora più sorprendente perché i trattamenti così ritenuti ammissibili riguardano dati personali che rivelano informazioni relative alla vita sessuale, poiché il catalogo per il quale la Mircom avanza le sue richieste è composto da film pornografici.

Il Regolamento “chat control”

Un recente Regolamento del Parlamento europeo e del Consiglio (è stato pubblicato il 30 luglio 2021) si spinge ancora oltre, fino a intaccare un ambito della riservatezza di norma escluso da possibili intrusioni da parte degli operatori di servizi di comunicazione interpersonale: il contenuto della comunicazione.

Regolamento Chatcontrol ovvero la sorveglianza di massa anche in Europa

Il Regolamento, denominato in breve “chat control”, prevede, infatti, che possa consentirsi ai provider di servizi di comunicazione interpersonale indipendenti dal numero (cioè quelli a cui non sono assegnate risorse di numerazione su reti pubbliche come, ad esempio, Whatsapp, Messenger, Telegram ed altri) di attuare, limitatamente ad un periodo di tre anni e al solo scopo di individuare e rimuovere materiale pedopornografico online o attività di adescamento di minori, un controllo sistematico e massivo del contenuto delle chat private, in deroga all’articolo 5, paragrafo 1, e all’articolo 6, paragrafo 1 della Direttiva 2002/58/CE, che tutelano la riservatezza delle comunicazioni e del traffico dati.

Naturalmente, il trattamento deve essere limitato allo stretto necessario in relazione alla specifica tecnologia utilizzata e si dovrà “senza indugio” procedere alle segnalazioni alle autorità di contrasto o alle organizzazioni che agiscono contro gli abusi sessuali sui minori; alternativa, questa, pericolosa, perché lascia aperta la possibilità che l’autorità giudiziaria non sia informata (o lo sia in ritardo) qualora la comunicazione sia trasmessa solo ad organizzazioni private.

Per quanto le tecnologie ammesse siano solo le meno invasive della vita privata e siano previsti molteplici meccanismi per evitare abusi, una scansione del testo contenuto in comunicazioni affidata ad una impresa privata suscita notevoli perplessità; inoltre, le comunicazioni agli interessati previste in caso di materiale pedopornografico così individuato potrebbero interferire negativamente sulle indagini avviate a seguito della segnalazione dell’operatore.

Un nuovo assetto normativo europeo per data retention

È possibile un quadro normativo più equilibrato in materia data retention? È possibile superare la contraddizione di una tutela del copyright decisamente maggiore di quella accordata alle vittime della gran parte dei reati? Quali caratteristiche deve avere la conservazione dei metadati per le esigenze di sicurezza e di accertamento delle responsabilità e quali sono i rischi per la privacy che comporta?

In primo luogo, non conservare i metadati in maniera generalizzata, come pure in più di una occasione si è proposto, significherebbe inevitabilmente impedire (per la gran parte dei reati informatici) o rendere estremamente difficile (in molti altri casi) l’individuazione del responsabile di una violazione penale. Ora anche la Corte europea ne ha piena consapevolezza, ma andrebbero rimossi gli ostacoli all’utilizzazione dei dati esterni alle comunicazioni nei procedimenti per l’applicazione di sanzioni amministrative, almeno nell’ipotesi di violazioni di norme poste a tutela della regolarità delle comunicazioni nella rete Internet: l’anacronistica conseguenza di questo limite è che le violazioni più gravi sono sanzionate penalmente, mentre le offese di lieve entità, al di fuori dei casi di società o soggetti notoriamente o formalmente riconoscibili, non hanno prescrizioni punitive applicabili al responsabile che agisce in rete. Si pone al riguardo un problema, per troppo tempo ignorato, di proporzionalità delle sanzioni rispetto all’offesa arrecata.

È chiaro, però, che una normativa nazionale in tal senso, come pure l’ ulteriore utilizzo dei metadati per l’accertamento di tutti i tipi di reato (in contrasto con principi più volte ribaditi dai giudici europei) avrebbe vita breve, perché la Corte non tarderebbe ad intervenire sulle difformità rispetto all’attuale quadro normativo europeo, seguendo il solco tracciato a partire dal 2014: occorre una nuova direttiva in materia, che consideri in maniera equilibrata le esigenze di sicurezza, nel cui ambito l’individuazione del responsabile di una violazione – e quindi l’effettiva difesa di un proprio diritto – ha un’importanza cruciale.

Dovrà tenersi conto del fatto che i dati conservati per finalità di accertamento (dei reati o dei responsabili di altre violazioni) vanno a costituire banche dati di natura “statica”, sono cioè destinati a non essere ulteriormente trattati se non in occasione di specifici provvedimenti emessi dall’autorità giudiziaria o da un organismo indipendente; a tal proposito, forse sarebbe più appropriato, al posto del termine “conservazione” (associato al vocabolo “trattamento”, caratterizzato da una connotazione dinamica) utilizzare il vocabolo “mera conservazione”, dove il riutilizzo costituisce un evento eccezionale.

La staticità è inoltre accompagnata da prescrizioni (da aggiornarsi periodicamente) estremamente cautelative e limitative dei poteri del detentore della banca dati, organizzata per una finalità esterna alla sua volontà, cioè le esigenze di giustizia e di sicurezza della collettività.

Un ragionamento più articolato merita il periodo di conservazione e le diverse tipologie dei dati interessati. Il futuro assetto deve essere ricercato al di fuori di logiche emergenziali, coinvolgendo tutti i soggetti interessati: investigatori, magistrati, Garante per la protezione dei dati personali, avvocati, operatori che offrono servizi – di telefonia o connessione internet – su rete pubblica di comunicazioni, produttori di apparati ecc..

Si ritiene comunque anacronistico differenziare il periodo di conservazione dei dati telefonici rispetto a quelli telematici, alla luce della sovrapponibilità degli apparati e dei servizi nei due settori.

Altra differenziazione che non è sostenuta da sufficienti motivazioni razionali è quella relativa al periodo di acquisizione in base alla tipologia di reato: la conservazione per un periodo più lungo stabilita eccezionalmente quando si procede per alcune fattispecie riguarda, in realtà, i dati esterni di tutte le comunicazioni, anche se, per la maggioranza dei reati, l’arco temporale entro il quale possono essere estrapolati è più breve. La limitazione riguarda solo la possibilità di acquisizione ed, infatti, secondo l’attuale normativa italiana, gli stessi dati, indisponibili per la sopravvenuta scadenza del termine ordinario (ad. esempio, in relazione ad un’indagine per omicidio colposo), potranno essere legittimamente ottenuti nell’ambito di inchieste relative a crimini per i quali non sia trascorso il periodo più lungo specificamente previsto (per esempio, con riferimento ad eventi terroristici).

La massa numerica di informazioni detenute rimane inalterata e i rischi per la privacy connessi alla conservazione dei dati non solo non diminuiscono in presenza di un diverso periodo di acquisizione, ma possono essere accentuati da possibili errori di gestione legati proprio ai differenti periodi temporali.

L’unica reale differenziazione potrebbe farsi per una particolare categoria di dati esterni di minore importanza investigativa, cioè le chiamate senza risposta, la cui conservazione, non a caso, è già ora di più breve durata.

Andrebbero infine escluse attività di trattamento svolte da aziende che offrono servizi di comunicazione interpersonale sui contenuti trasmessi dagli propri utenti: la deroga al diritto alla riservatezza è in questo caso di portata tale da ritenersi ammissibile, a determinate condizioni, solo se operata da ufficiali di polizia giudiziaria.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4