Intercettazioni e privacy

Conservazione dei dati di traffico: come cambierà la legislazione italiana

La riforma della data retention sulla conservazione dei dati di traffico non ha previsto due aspetti emersi dall’ultima sentenza della Corte di Giustizia UE. Quali sono, i dettagli della sentenza, dov’è arrivata la riforma, i prossimi interventi del legislatore

04 Mag 2022
Flavia Salvatore

Dipartimento Data Protection Rödl & Partner

L’ultima sentenza della Corte di Giustizia dell’Unione Europea sulla conservazione dei dati di traffico è del 5 aprile 2022.

A pochi mesi dalla cosiddetta “Riforma della data retention“, che aveva recepito l’orientamento espresso con la sentenza della Corte UE del 2 marzo 2021, la disciplina in vigore in Italia, dunque, cambierà ancora.

Data retention, Scorza: “Ora cambiamo la legge italiana, viola la privacy dei cittadini”

Conservazione dei dati di traffico: cosa dice la giurisprudenza europea

La sentenza[1] della Corte di Giustizia UE, emessa il 5 aprile 2022 all’esito del procedimento C-140/20, ha riacceso il dibattito sulla conservazione e l’utilizzo dei dati di traffico e dei dati di localizzazione a fini di prevenzione dei reati.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Una questione iniziata nel 2015: un tribunale irlandese, a conclusione di un procedimento per omicidio, aveva condannato all’ergastolo l’imputato utilizzando a fini probatori dati di traffico e dati di ubicazione afferenti a chiamate telefoniche.

Gli investigatori della polizia nazionale avevano avuto accesso a questi dati in base al Communications (Retention of Data) Act del 2011. L’imputato aveva contestato l’utilizzo di queste prove, adducendo che questa legge, che disciplina la conservazione di dati di traffico e/o di ubicazione, avrebbe violato i diritti conferitigli dal diritto dell’Unione e nello specifico dalla Direttiva UE 2022/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.

Era stata dunque interpellata la Corte di Giustizia dell’Unione Europea, mediante rinvio pregiudiziale.

La Corte, in particolare, è stata chiamata a pronunciarsi sulla compatibilità tra la predetta Direttiva e la previsione, all’interno degli ordinamenti degli Stati membri, di disposizioni che consentissero, e a quali condizioni, l’utilizzo dei dati relativi al traffico o all’ubicazione, per ragioni di prevenzione di illeciti e tutela della sicurezza pubblica.

Parametro dell’indagine è, nello specifico, l’articolo 15 della Direttiva 58/2002, paragrafo 1[2], che dispone come gli Stati membri possano adottare disposizioni legislative di conservazione dei dati per un periodo di tempo limitato se necessario per la salvaguardia della sicurezza dello Stato, della difesa, della sicurezza pubblica o per la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica.

All’esito del procedimento di rinvio pregiudiziale, nelle disposizioni finali della sentenza, la Corte ha chiarito che questa norma si qualifica come un limite all’introduzione – da parte del legislatore nazionale – di misure preventive che contemplino, per finalità di lotta alla criminalità o di tutela alla pubblica sicurezza, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione.

Sono invece conformi al Diritto Europeo, secondo la Corte, tutte quelle disposizioni volte ad introdurre, per le medesime finalità di prevenzione di illeciti e tutela della sicurezza pubblica, misure che prevedano:

  • la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile;
  • la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;
  • la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica;
  • il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui dispongono tali fornitori di servizi.

Conservazione dei dati di traffico: la riforma italiana della data retention

La pronuncia della Corte di Giustizia di aprile 2022 arriva solo qualche mese dopo la cosiddetta Riforma della data retention, introdotta con D.L. 30 settembre 2021 n. 132, che ha modificato l’articolo 132 del Codice Privacy (d.lgs n. 196/2003), con l’emendamento del comma 3 e l’introduzione dei commi 3 bis, 3 ter e 3 quater.

Con questa riforma, il Legislatore nostrano si è proposto di recepire un precedente orientamento della Corte di Giustizia, espresso a conclusione del procedimento C-746/18[3].

La Corte aveva formulato un parere non dissimile a quello espresso nella pronuncia del 5 aprile 2022 ma rimanendo a un livello più alto, senza chiarire le condizioni specifiche che rendono l’utilizzo dei dati di traffico e di localizzazione, anche per fini preventivi degli illeciti, conforme alla disciplina europea.

In quell’occasione, la Corte aveva tuttavia già individuato nell’articolo 15 della Direttiva UE 58/2002 un ostacolo all’introduzione di misure di prevenzione, accertamento e perseguimento dei reati che consentissero l’utilizzo dei dati in oggetto senza alcuna limitazione connessa alla durata, alla quantità e alla natura dei dati trattati, e al di fuori del perimetro della repressione di forme gravi di criminalità e/o della tutela della pubblica sicurezza.

Su questo tracciato, dunque, il Legislatore nostrano ha novellato la disciplina dell’articolo 132 del Codice Privacy, che ad oggi prevede:

  • l’acquisizione dei dati, ove rilevanti per l’accertamento dei fatti, previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi;
  • l’acquisizione dei dati, in casi di particolare urgenza o al fine di evitare pregiudizio per le indagini, con decreto motivato del pubblico ministero, su convalida del giudice;
  • l’individuazione di misure di garanzia a tutela dell’interessato, nel cui rispetto deve essere effettuato il trattamento dei dati di traffico, da parte di un provvedimento di carattere generale del Garante per la protezione dei dati personali.

Conservazione dei dati di traffico: i prossimi interventi del legislatore italiano

Nonostante l’intervento del legislatore sia relativamente recente, la disciplina in vigore in Italia sulla conservazione dei dati di traffico non risulta al momento conforme agli ultimi orientamenti della Corte di Giustizia e dovrà essere senz’altro corretta, quantomeno in relazione a due aspetti.

In primo luogo, infatti, la Riforma della Data Retention non ha intaccato la possibilità per il fornitore di conservare, per finalità di accertamento e repressione dei reati, dati di traffico telefonico e telematico, nonché dati relativi alle chiamate senza risposta, anche fino a 6 anni dalla comunicazione, così come previsto dalla Legge 167/2017 (Legge Europea 2017), all’art. 24, che aveva esteso i tempi di retention previsti dal Codice Privacy.

Simili tempi di conservazione, oltre a non accordarsi con l’impianto garantista del nostro sistema penale, non sono coerenti con la cultura della protezione dei dati che, a partire dall’entrata in vigore del GDPR, e ancor prima nelle maglie del lavoro del Garante, si è installata in Italia.

È stato peraltro lo stesso Garante a esprimersi più volte a sfavore di una conservazione così estesa dei dati di traffico, da ultimo nel “Parere sullo schema di decreto-legge per la riforma della disciplina dell’acquisizione dei dati relativi al traffico telefonico e telematico a fini di indagine penale” del 10 settembre 2021 [9704851][4].

L’Autorità in quell’occasione ha rimarcato la necessità di ridurre i termini di conservazione dei dati in oggetto “riconducendoli entro margini maggiormente compatibili con il canone di proporzionalità, tenendo conto dei precedenti sui quali la Corte di Giustizia dell’Unione europea ha avuto modo di pronunciarsi”.

L’eccessiva estensione dei tempi di conservazione, come si anticipava, è solo uno dei due aspetti su cui la disciplina italiana dovrà essere rivista per accordarsi all’impostazione della Corte di Giustizia.

Infatti, al momento l’articolo 132 del Codice Privacy, che si occupa di disciplinare l’utilizzo dei dati relativi al traffico telefonico e telematico a fini di prevenzione, accertamento e repressione dei reati, non prevede una differenziazione delle modalità di trattamento a seconda della categoria in cui rientrano i dati oggetto di indagine.

La Corte di Giustizia, si ricorda, ha invece contemplato diversi livelli di garanzia per l’interessato, a seconda che oggetto di trattamento siano, per esempio, dati relativi al traffico o all’ubicazione – per i quali è ammessa esclusivamente la conservazione mirata e limitata alla sussistenza di elementi oggettivi e non discriminatori – oppure l’indirizzo IP, che può essere oggetto finanche di conservazione generalizzata e indifferenziata.

Conclusioni

Il tema della conservazione dei dati di traffico è lontano dall’essere in armonia con le istanze europee.

Si confida dunque in nuovi e tempestivi interventi del legislatore italiano, in modo da far convergere la necessità di tutelare la sicurezza pubblica, con quella di preservare le garanzie e le tutele imprescindibili per un Paese europeo con una forte cultura della protezione dei dati.

_________________________________________________________________

Note

  1. CURIA – Documenti (europa.eu)
  2. “Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea.”.
  3. CURIA – Documenti (europa.eu)
  4. Parere sullo schema di decreto-legge per la riforma della disciplina… – Garante Privacy (gpdp.it)
WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 4