Codice PrivacyAltri atti del garanteProvvedimento del 17 01 08Premessa: Quadro di riferimento
Premessa: Quadro di riferimento
| Premessa: Considerazioni preliminari< --- | --- >Premssa: Finalità e modalità |
|---|
2. Quadro di riferimento
2.1. Normativa comunitaria
La direttiva europea n. 2002/58/Ce, relativa al
trattamento dei
dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, impone agli Stati membri di proteggere la riservatezza delle comunicazioni elettroniche e vieta la conservazione dei dati relativi al traffico generati nel corso delle comunicazioni, a eccezione della conservazione espressamente autorizzata per i fini indicati nella direttiva medesima.
La direttiva riguarda (art. 3) il trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione. I dati relativi al traffico sono definiti, in questa sede, quali quelli sottoposti a trattamento "ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione" (cfr. art. 2 e considerando n. 15 della direttiva 2002/58/Ce).
La medesima direttiva, nell'imporre agli Stati membri l'adozione di disposizioni di legge nazionali che assicurino la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, pone l'accento sui dati di traffico generati dai servizi medesimi (art. 5); tali dati, trattati e memorizzati dal fornitore della rete pubblica o del servizio pubblico di comunicazione elettronica, devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione, fatte salve alcune tassative eccezioni (cfr. art. 6, par. 2 , 3 e 5 e art. 15, par. 1; v., fra gli altri, il Parere n. 1/2003 sulla memorizzazione ai fini di fatturazione dei dati relativi al traffico, adottato il 29 gennaio 2003 dal Gruppo dei garanti europei per la tutela dei dati personali).
L'art. 15, par. 1, della direttiva consente che gli Stati membri possano adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui ai predetti articoli 5 e 6 solo quando tale restrizione costituisca "una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioé della sicurezza dello Stato), della difesa, della sicurezza pubblica e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica". A tal fine, gli Stati membri possono, tra l'altro, adottare misure legislative le quali prevedano che, per tali motivi, i dati siano conservati per un periodo di tempo limitato.
2.2. Normativa nazionale
La direttiva 2002/58/Ce è stata recepita con il Codice in materia di protezione dei dati personali (Titolo X ("Comunicazioni elettroniche"); cfr. art. 184). Nel Capo I di tale Titolo, intitolato "Servizi di comunicazione elettronica", è stata introdotta una nuova disciplina sulla conservazione dei dati di traffico telefonico.
Da un lato, l'art. 123 del Codice ha ridotto a sei mesi il previgente limite temporale per la conservazione dei dati di traffico telefonico per finalità di fatturazione, pagamenti in caso di interconnessione e di commercializzazione di servizi, termine che era in precedenza individuabile nella misura massima di cinque anni in base a quanto previsto dal d.lg. n. 171/1998.
Dall'altro, l'art. 132 del medesimo Codice, modificato prima della sua entrata in vigore (d.l. 24 dicembre 2003, n. 354, convertito in l., con modificazioni, dall'art. 1 l. 26 febbraio 2004, n. 45) ha introdotto un distinto obbligo per i fornitori di servizi di comunicazione elettronica di conservare per finalità di accertamento e repressione dei reati dati di traffico telefonico relativi ai servizi offerti.
Tutto ciò, sullo sfondo del principio cardine in materia secondo cui i dati non devono essere formati se non sono necessari e proporzionati ai fini della funzionalità della rete o della prestazione del servizio (artt. 3 e 11 del Codice).
Dal contesto sopra riassunto emerge che è stata nel complesso vietata una conservazione generalizzata dei dati relativi al traffico (art. 123, comma 1, cit.), con le seguenti eccezioni:
*
è stato consentito il trattamento di dati strettamente necessario a fini di fatturazione per l'abbonato, ovvero di pagamenti in caso di interconnessione (nei limiti e con le modalità di cui all'art. 123, comma 2) o, previo consenso dell'abbonato o dell'utente, a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto (art. 123, comma 3);
*
è stata però prescritta in termini distinti la conservazione temporanea dei dati di traffico telefonico per esclusive finalità di accertamento e repressione dei reati per due periodi di ventiquattro mesi ciascuno (art. 132 del Codice).
Un successivo provvedimento d'urgenza del 2005 (d.l. 27 luglio 2005, n. 144, convertito in l., con modificazioni, dall'art. 1 della l. 31 luglio 2005, n. 155) ha poi introdotto, tra l'altro:
a) l'obbligo di conservare i dati di traffico telematico, escludendone i contenuti, per due periodi di sei mesi ciascuno;
b) l'obbligo di conservare dati relativi alle chiamate telefoniche senza risposta;
c) con riferimento ai primi ventiquattro mesi di conservazione dei dati del traffico telefonico e ai primi sei mesi di conservazione dei dati del traffico telematico, la previsione che la richiesta giudiziaria volta ad acquisirli, rivolta al fornitore, venga effettuata dal "pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private e non già dal giudice su istanza del pubblico ministero";
d) un regime transitorio in virtù del quale è stata sospesa temporaneamente l'applicazione di qualunque disposizione che prescriva o consenta la cancellazione dei dati di traffico, anche se non soggetti a fatturazione (termine originariamente stabilito al 31 dicembre 2007, ma successivamente prorogato al 31 dicembre 2008 con l'art. 34 del recente d.l. 31 dicembre 2007, n. 248, in fase di conversione in legge);
e) per i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie, che si limitino a porre a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale, alcuni specifici obblighi di identificazione e monitoraggio delle operazioni compiute dai clienti (cfr. anche il d.m. 16 agosto 2005, in G.U. 17 agosto 2005, n. 190, attuativo di tale previsione).
Il decreto legge del 2005 ha quindi, da un lato, emendato l'art. 132 del Codice (punti a), b) e c) sopra indicati) e, dall'altro, ha introdotto un regime transitorio per la conservazione dei dati, nonché la predetta disciplina speciale applicabile solo a determinati soggetti.
Fermo restando il predetto regime, che prevede temporaneamente la conservazione (lett. d) sopra citata), la vigente normativa di riferimento prescrive ai fornitori di servizi di comunicazione elettronica di conservare comunque, per finalità di accertamento e repressione di reati, i dati relativi al traffico telefonico (inclusi quelli concernenti le chiamate senza risposta) e quelli inerenti al traffico telematico (esclusi i contenuti delle comunicazioni), rispettivamente per ventiquattro e sei mesi (art. 132, comma 1, del Codice).
La stessa normativa prescrive inoltre, ai medesimi fornitori, di conservare tali dati per un periodo ulteriore, rispettivamente di ventiquattro e sei mesi, per l'accertamento e la repressione dei delitti tassativamente individuati dall'art. 407, comma 2, lett. a), c.p.p., nonché dei delitti in danno di sistemi informatici o telematici (art. 132, comma 2).
Infine, prevede che la conservazione dei predetti dati sia effettuata nel rispetto di specifici accorgimenti e misure a garanzia degli interessati. L'individuazione di tali cautele, oggetto del presente provvedimento, è stata appunto demandata al Garante per la protezione dei dati personali (cfr. artt. 17 e 132, comma 5, del Codice).
2.3. Altra disciplina comunitaria: la direttiva 2006/24/Ce
Al fine di armonizzare le disposizioni degli Stati membri sul tema della conservazione dei dati di traffico per finalità di accertamento e repressione di reati è poi intervenuta la direttiva n. 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, che doveva essere recepita entro il 15 settembre 2007.
Tale direttiva contiene specifiche indicazioni sul risultato convenuto a livello comunitario con riferimento sia ai tempi di conservazione dei dati di traffico (minimo sei mesi e massimo due anni), sia alla corretta e uniforme individuazione delle "categorie di dati da conservare" (analiticamente elencate nell'art. 5 della direttiva medesima); ciò, in relazione agli specifici servizi ivi enucleati, ovvero di telefonia di rete fissa e di telefonia mobile, di accesso a Internet, di posta elettronica in Internet e di telefonia via Internet.
In questo quadro risulta necessario tenere conto di tali indicazioni anche nell'ambito del presente provvedimento. Ciò, anche in considerazione del fatto che nell'attuale quadro normativo interno, pur sussistendo una definizione generale di "dati relativi al traffico" (art. 4, comma 2, lett. h) del Codice), tali dati non vengono enumerati, né vengono distinti espressamente i dati relativi al traffico "telefonico" da quelli inerenti al traffico "telematico".
Tale distinzione risulta, invece, necessaria in considerazione del fatto che il legislatore italiano, diversamente da quello comunitario, ha individuato due diversi periodi di conservazione in relazione alla natura "telefonica" o "telematica" del dato da conservare.
Ciò comporta l'esigenza di specificare l'ambito soggettivo di applicazione del presente provvedimento rispetto all'obbligo di conservazione dei dati.
3. I fornitori tenuti a conservare i dati di traffico
Il "fornitore" sul quale incombe l'obbligo di conservare i dati di traffico ai sensi del citato art. 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione; per "servizi di comunicazione elettronica" devono intendersi quelli consistenti, esclusivamente o prevalentemente, "nella trasmissione di segnali su reti di comunicazioni elettroniche" (art. 4, comma 2, lett. d) e e), del Codice).
Ciò, deriva:
a) dalla collocazione del menzionato art. 132 all'interno del titolo X, capo I, del Codice e da quanto disposto dall'art. 121 del medesimo Codice il quale, nell'individuare i "Servizi interessati", chiarisce che le disposizioni del titolo X "si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni";
b) da quanto stabilisce il citato decreto legge 27 luglio 2005, n. 144 nella parte in cui, nell'imporre la conservazione dei dati per il predetto regime transitorio, si riferisce ai "fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico".
Devono ritenersi quindi tenuti alla conservazione dei dati ai sensi del medesimo art. 132 i soggetti che realizzano esclusivamente, o prevalentemente, una trasmissione di segnali su reti di comunicazioni elettroniche, a prescindere dall'assetto proprietario della rete, e che offrono servizi a utenti finali secondo il principio di non discriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento europeo e del Consiglio, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (c.d. direttiva quadro) e d.lg. n. 259/2003 recante il Codice delle comunicazioni elettroniche).
Al contrario non rientrano, ad esempio, nell'ambito applicativo del presente provvedimento:
* i soggetti che offrono direttamente servizi di comunicazione elettronica a gruppi delimitati di persone (come, a titolo esemplificativo, i soggetti pubblici o privati che consentono soltanto a propri dipendenti e collaboratori di effettuare comunicazioni telefoniche o telematiche). Tali servizi, pur rientrando nella definizione generale di "servizi di comunicazione elettronica", non possono essere infatti considerati come "accessibili al pubblico". Qualora la comunicazione sia instradata verso un utente che si trovi al di fuori della c.d. "rete privata", i dati di traffico generati da tale comunicazione sono invece oggetto di conservazione (ad es., da parte del fornitore di cui si avvale il
destinatario della comunicazione, qualora si tratti di un messaggio di posta elettronica; cfr. documento di lavoro "Tutela della vita privata su Internet–Un approccio integrato dell'EU alla protezione dei dati on-line", adottato dal Gruppo di lavoro per la tutela dei dati personali il 21 novembre 2000);
* i soggetti che, pur offrendo servizi di comunicazione elettronica accessibili al pubblico, non generano o trattano direttamente i relativi dati di traffico;
* i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie che si limitino a porre a disposizione del pubblico, di clienti o soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso a Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale;
* i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. "content provider"). Essi non sono, infatti, fornitori di un "servizio di comunicazione elettronica" come definito dall'art. 4, comma 2, lett. e) del Codice. Tale norma, infatti, nel rinviare, per i casi di esclusione, all'art. 2, lett. c) della direttiva 2002/21/Ce cit., esclude essa stessa i "servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica […]". Deve rilevarsi, inoltre, che i dati di traffico relativi alla comunicazione (come, ad esempio, la c.d. "navigazione web" e le pagine visitate di un sito Internet) spesso identificano o rivelano nella sostanza anche il suo contenuto e pertanto l'eventuale conservazione di tali dati si porrebbe, in violazione di quanto disposto dall'art. 132 del Codice (come modificato dal citato d.l. n. 144/2005), laddove esclude dalla conservazione per finalità di giustizia i "contenuti" della comunicazione (cfr., in tal senso, anche l'art. 1, comma 2, della direttiva 2006/24/Ce, nella parte in cui esclude dal proprio ambito di applicazione la conservazione del "contenuto delle comunicazioni elettroniche, ivi incluse le informazioni consultate utilizzando una rete di comunicazioni elettroniche");
* i gestori di motori di ricerca. I dati di traffico telematico che essi trattano, consentendo di tracciare agevolmente le operazioni compiute dall'utente in rete, sono, comunque, parimenti qualificabili alla stregua di "contenuti".
4. I dati di traffico che devono essere conservati
L'obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni (art. 132 del Codice). In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione (art. 4, comma 2, lett. h), del Codice).
Pertanto, i fornitori (come individuati nel precedente paragrafo 3) devono conservare, per esclusive finalità di accertamento e repressione di reati, solo i dati di traffico che risultino nella loro disponibilità in quanto derivanti da attività tecniche strumentali alla resa dei servizi offerti dai medesimi, nonché alla loro fatturazione. Ciò, in ossequio anche ai princìpi di pertinenza e non eccedenza stabiliti dagli artt. 3 e 11 del Codice.
In tal senso, si esprime anche il citato decreto legge 27 luglio 2005, n. 144 che, all'art. 6, riconduce l'obbligo di conservazione alle "informazioni che consentono la tracciabilità degli accessi, nonché, qualora disponibili, dei servizi". La direttiva 2006/24/Ce ribadisce che tale obbligo sussiste soltanto se i dati sono stati "generati o trattati nel processo di fornitura dei […] servizi di comunicazione" del fornitore (cfr. considerando 23 e art. 3, par. 1, della direttiva 2006/24/Ce cit.).
L'art. 5 di tale direttiva contiene, poi, un'elencazione specifica delle informazioni da conservare e individua diverse categorie di dati di traffico, specificandone i contenuti a seconda che si tratti di traffico telefonico o telematico.
Nell'ambito dei servizi di comunicazione elettronica, occorre infatti distinguere i servizi "telefonici" da quelli "telematici".
Nei primi sono ricompresi:
* le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax;
* i servizi supplementari, inclusi l'inoltro e il trasferimento di chiamata;
* la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve-sms.
Nei secondi sono ricompresi:
* l'accesso alla rete Internet;
* la posta elettronica;
* i fax (nonché i messaggi sms e mms) via Internet;
* la telefonia via Internet (cd. Voice over Internet Protocol–VoIP).
Per quanto concerne specificamente la conservazione dei dati di traffico telefonico relativo alle "chiamate senza risposta", fermo restando allo stato quanto indicato dalla direttiva 2006/24/Ce al considerando 12 (laddove esclude dal proprio ambito di applicazione i "tentativi di chiamata non riusciti"), il fornitore, in forza delle modifiche apportate dal d.l. n. 144/2005 all'art. 132 del Codice, deve conservare solo i dati generati da chiamate telefoniche che sono state collegate con successo, ma non hanno ottenuto risposta oppure in cui vi è stato un intervento del gestore della rete (cfr. art. 2, comma 2, lett. f), direttiva 2006/24/Ce).
Dalla Parte del Paziente
SSOP Modalità controllo stabilimenti abilitati export
Allegato bando attività VI 1.2