Dopo alcuni anni di lavoro il disegno di legge del Progetto Winston Smith contro la data retention, dal titolo “Norme in materia di raccolta, uso, conservazione e cancellazione di dati georeferenziati o cronoreferenziati, contenenti identificatori univoci di utente, effettuata mediante apparecchiature automatiche” è stata presentata alla Camera dei Deputati il 28 settembre dal deputato Maurizio Turco (RnP) ed inserita nell’ elenco delle proposte di legge della XV Legislatura al n. 1728; la scheda dei lavori è consultabile qui .
Il testo del disegno di legge è reperibile qui , insieme alla sua relazione introduttiva ed alla presentazione tenuta a Firenze durante il convegno e-privacy 2005 .
L’argomento del disegno di legge, la raccolta e memorizzazione incontrollata di dati personali, è salito nuovamente alla ribalta della cronaca; la proposta del PWS, finalizzata oltre due anni fa, non tenta di agire a valle di una data retention ormai effettuata, ma cerca piuttosto di controllarne e limitarne gli effetti a monte, nel momento della produzione dei dati stessi.
Questa proposta non si prefigge di agire contro le raccolte richieste da trattati internazionali e da leggi di polizia, ma di ridurre le moli di dati personali “generici” creati dal sempre maggior numero di apparecchiature automatiche che ci circondano. Altre e ben più difficili iniziative che seguiranno dovranno farsi carico di ridurre, e possibilmente abolire, la data retention eseguita come obbligo di legge per problemi di polizia ed ordine pubblico.
Limitare la costituzione di banche di dati raccolti automaticamente si realizza introducendo un obbligo di cancellazione di questo tipo di dati al massimo dopo 90 giorni, terminato cioè il loro periodo di utilità per esigenze normali quali controllo di impianti industriali o telematici, movimentazione di magazzino, fatturazione etc.
Nel caso che dei dati debbano essere conservati per periodi superiori, questi dovranno essere parificati a dati personali ed il loro trattamento dovrà essere notificato all’Autorità Garante della Privacy, comunicando tipologia e periodo di ritenzione e ponendo la responsabilità della cancellazione dei dati in carico al responsabile del trattamento dei dati personali dell’organizzazione interessata.
Elemento centrale della proposta è quello di far ricadere la gestione degli obblighi di cancellazione e dei rispettivi ruoli e responsabilità nella struttura già esistente prevista dal Testo Unico sulla Privacy L.196/2003, in modo da semplificarne la messa in opera e minimizzarne i costi sociali.
I punti qualificanti della proposta sono:
– Definizione di un periodo massimo di conservazione dei dati compatibile con le esigenze amministrative e tecniche
– Obbligatorietà della cancellazione dei dati alla scadenza dei termini di conservazione
– Divieto, salvo casi regolati, di conservazione dati per scopi diversi da quelli per cui sono stati raccolti
– Possibilità di deroga previa semplice comunicazione all’Autorità’ garante
– Definizione di situazioni “standard” non soggette a comunicazione
– Assegnazione di ruoli e responsabilità alle figure già definite dalla L.196/2003
Sintetizzando in una sola riga, cancellare i dati deve essere la regola, non l’eccezione.
In ogni viaggio, il passo più difficile è il primo.
Marco Calamari
Le release di Cassandra Crossing sono pubblicate a questo indirizzo