Roma – Le aspettative di quanti ritenevano di poter trovare nel Codice della Privacy la tranquillità della certezza del diritto connaturale ad un Testo Unico sono oramai andate definitivamente deluse.
Dopo la lunga attesa estiva prima di poter leggere il tanto sospirato decreto legislativo n. 196/03, terminata con la pubblicazione di tale provvedimento nella G.U. 29/07/2003 n. 174 (anche se qualche copia informale era già da tempo reperibile in rete), il traguardo del 1° gennaio – data fissata per l’entrata in vigore della maggior parte delle prescrizioni del codice – è stato raggiunto con non poche difficoltà.
Il legislatore dell’emergenza è intervenuto, infatti, (addirittura prima che il decreto legislativo entrasse in vigore!) con un pacco dono sotto l’albero confezionato per complicare la vita di aziende, pubbliche amministrazioni e giuristi esperti del settore. Si tratta del decreto legge 24 dicembre 2003, n. 354, che, per quanto rubricato “Disposizioni urgenti per il funzionamento dei tribunali delle acque, nonchè interventi per l’amministrazione della giustizia” , non ha mancato di incidere profondamente su alcune disposizioni del codice della privacy.
La decretazione d’urgenza ha interessato proprio una delle più significative novità introdotte dal codice, ovvero la riduzione dei tempi di conservazione dei dati attinenti ai traffici, stravolgendone la portata e sollevando serie perplessità in merito alla ragionevolezza e legittimità di questo intervento.
“Se vogliamo che tutto rimanga come è, bisogna che tutto cambi” la celebre frase di Tancredi affascina ancora oggi il nostro legislatore. Così richiamando alla nostra memoria gli insegnamenti del Gattopardo possiamo ben dire che in tema di privacy tutto è cambiato: non più una ricca costellazione di leggi e decreti ma un solo testo unico? ma poi tutto è rimasto come era! Almeno a giudicare dalla disciplina in materia di conservazione dei dati relativi al traffico telefonico.
Il riferimento in particolare è all’art. 132 del codice che nella sua prima stesura recitava “Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione di reati, secondo le modalità individuate con decreto del Ministro della giustizia, di concerto con i Ministri dell’interno e delle comunicazioni, e su conforme parere del Garante” mentre dopo l’intervento natalizio dispone tutta una serie di adempimenti descritti in sei lunghi commi aggiunti dal decreto legge.
Ma procediamo con ordine.
È opportuno precisare che i “dati relativi al traffico” (non si parla più, quindi, del solo traffico telefonico) di cui si tratta all’art. 3 del d.l. n. 354/03 sono quelli finalizzati alla fatturazione dal momento che il novellato comma 1 dell’art.132 del d.lgs. n.196/03 richiama il comma 2 dell’art.123 dello stesso provvedimento secondo il quale “il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l’abbonato, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale”.
Anche alla lue del necessario coordinamento del richiamato art. 123 con le prescrizioni di cui all’art. 2, lett. b), della direttiva 2002/58/CE, può dirsi che i dati relativi al traffico, da conservarsi secondo le modalità previste dal d.l. in parola e delle quali a breve si dirà, sono (per le comunicazioni telefoniche) il numero complessivo di scatti nel periodo di fatturazione, la data, l’ora di inizio e la durata delle chiamate, ed ancora (per i traffici di comunicazione in rete) data, ora e durata della connessione, IP, servizi on-line utilizzati.
La novità più importante introdotta dal d.l. n. 354/03 è stata, come anticipato, una sorta di dilatazione dei termini di conservazione dei dati relativi al traffico; dispone infatti, tra l’altro, l’art. 3 del menzionato d.l. “Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione dei reati.
Decorso il termine di cui al comma 1, i dati sono conservati dal fornitore per ulteriori trenta mesi e possono essere richiesti esclusivamente per finalità di accertamento e repressione dei delitti di cui all’articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici”.
Da una semplice lettura dei due commi è facile dedurre che il legislatore abbia voluto prevedere un trattamento ad hoc per talune categorie di reati, sintomo evidente della volontà di arginare fenomeni socialmente pericolosi di particolare gravità e dei quali più innanzi diremo.
Ora, procedendo nel nostro intervento non possiamo evitare di evidenziare sin da subito come il ricorso allo strumento del decreto legge si sia tradotto ancora una volta in un abuso della norma di cui all’art. 77 della Costituzione che, come noto, legittima l’adozione di tale provvedimento nei soli casi di straordinaria necessità ed urgenza. Né può dirsi che nell’ipotesi della conservazione dei dati relativi al traffico siano rinvenibili tali estremi poiché il decreto legislativo n. 196 è frutto di un lungo meditare del legislatore; né la necessità di dettare regole più severe per la repressione di alcuni tipi di reati può ritenersi figlia della contingenza degli ultimi giorni.
Veniamo ora ad un’analisi più approfondita di questi reati e vediamo se il legislatore delle misure urgenti per il funzionamento dei tribunali delle acque e degli interventi per l’amministrazione della giustizia (!) è incorso in qualche errore o inesattezza in materia di trattamento dei dati personali…
Secondo il parere del Ministro Stanca (riportato nel sito ufficiale del Garante della privacy) il d.l. n. 354/03 rappresenta “una soluzione bilanciata” dal momento che “La conservazione delle informazioni relative al traffico telefonico e internet per i soli fini di indagini da parte della magistratura è una soluzione bilanciata tra l’esigenza prioritaria della libertà e della privacy individuale ed i problemi della sicurezza che, in alcuni momenti critici, è funzionale all’esercizio della libertà ?.Si chiede ai provider di conservare più a lungo gli estremi dei dati delle comunicazioni per consentire la lotta alla criminalità ed al terrorismo in particolari situazioni e secondo determinate condizioni. Il conflitto tra libertà e sicurezza non è teorico, ma ci sono circostanze, come il terrorismo, in cui la sicurezza è fondamentale per la libertà”.
In nome del terrorismo e delle sue gravissime conseguenze, quindi, è stato dettato il d.l. in parola: come dire, cittadini potete stare tranquilli il legislatore ha pensato alla vostra sicurezza! E allora sono doverosi cinque anni di conservazione dei dati personali per finalità di accertamento e repressione dei delitti di cui all’articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici. In queste poche righe, con la tecnica classica del rinvio ad altre norme, il legislatore ha ricondotto una pluralità di reati alcuni dei quali ben poco hanno a che spartire con il terrorismo.
Chi frequenta le aule della giustizia penale sa bene come i delitti di cui all’art. 407 comma 2) lettera a) c.p.p. rappresentino fatti gravissimi per i quali il legislatore ha approntato tutta una serie di deroghe alle regole procedurali. In definitiva, per procedere nei confronti degli imputati di questi reati gli organi inquirenti dispongono di più tempo e di più mezzi cui consegue, naturalmente, una sorta di compressione – entro certi limiti comunque ragionevoli – dei diritti degli stessi imputati.
Ora i delitti di cui si parla sono in effetti molto gravi: si va dagli omicidi, all’associazione mafiosa, dalle rapine ai sequestri per scopo di estorsione, dal terrorismo al traffico delle sostanze stupefacenti. Si tratta di un ventaglio di ipotesi che sono trattate in modo sostanzialmente uguale nelle varie fasi sia del procedimento sia del processo penale e rispetto alle quali – giova ripetersi – può dirsi essere sempre operativa una deroga alle regole generali.
Ciò premesso, è facile arguire come il legislatore del d.l. n. 354/03 abbia confezionato un provvedimento in cui sono equiparati tali reati ai delitti in danno di sistemi informatici o telematici fattispecie, queste ultime, di gravità di gran lunga inferiore rispetto ai primi delitti e la commissione delle quali non ha mai giustificato deroghe di alcuna sorta.
Ora, con riferimento ai tempi di conservazione dei dati relativi al traffico, l’equiparazione operata dal legislatore ha il sapore della irragionevolezza e della irrazionalità e mostra pertanto una non indifferente fragilità di ordine costituzionale.
I Giudici di Palazzo della Consulta avranno non poche difficoltà a giustificare questa eguaglianza di trattamento che con molta più probabilità è destinata a cadere sotto la loro scure. Ancora una volta il legislatore dimostra di avere una strana “fobia” in materia di diritto delle nuove tecnologie e la sua azione è da sempre caratterizzata da uno straordinario fervore legislativo al quale consegue inevitabilmente il solito caos normativo?
Evidenziati dubbi sul corretto ricorso allo strumento del d.l. nonché sospetti di legittimità costituzionale procediamo ora con l’analisi delle norme tecniche e procedurali dettate dalla seconda parte dell’art. 3 del decreto legge.
Una serie di regole rende palesi i modi con cui acquisire i dati conservati. In particolare, entro il termine di trenta mesi, i dati sono acquisiti presso il fornitore con decreto motivato dell’autorità giudiziaria che procede d’ufficio o su istanza rispettivamente del difensore dell’imputato, dell’indagato, della persona offesa e delle altre parti private.
Peraltro, il difensore dell’imputato, o dell’indagato, può richiedere direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dal codice di procedura penale in tema di indagini difensive.
Dopo la scadenza del termine dei trenta mesi, il pubblico ministero richiede al giudice, che decide con decreto motivato, l’autorizzazione ad acquisire i dati (tale disposizione si applica anche al difensore dell’imputato o della persona sottoposta alle indagini che intenda acquisire direttamente i dati dal fornitore). Il giudice, peraltro, dispone l’acquisizione sempre con decreto motivato e ciò anche nelle ipotesi in cui proceda d’ufficio.
Nelle operazioni di trattamento dei dati per le finalità accertamento e repressione dei reati (di qualunque tipo) occorre rispettare particolari misure ed accorgimenti, nel determinare i quali si deve tenere comunque conto dei seguenti principi previsti dal legislatore:
a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento;
b) disciplinare le modalità di conservazione separata dei dati una volta decorso il termine di trenta mesi;
c) individuare le modalità di accesso ai dati da parte di specifici incaricati del trattamento in modo tale che, decorso il termine di trenta mesi, l’accesso sia consentito solo nei casi previsti dalla legge;
d) indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di trenta/sessanta mesi.
Le modalità di trattamento dei dati per le finalità di cui si è detto sono individuate con decreto del Ministro della giustizia, di concerto con il Ministro dell’interno, con il Ministro delle comunicazioni e con il Ministro per l’innovazione e le tecnologie, su conforme parere del Garante.
Al termine di questo nostro intervento rimane da sottolineare come anche il tanto atteso ed auspicato testo unico in materia di trattamento di dati personali si sia avviato lungo la strada delle novelle e delle modifiche legislative. Prima ancora di entrare in vigore ha subito un incisivo e poco giustificabile intervento del legislatore dell’emergenza (secondo il Garante: “la nuova disciplina sui dati relativi alle comunicazioni elettroniche e alle utilizzazioni di Internet può anche entrare in conflitto con le norme costituzionali sulla libertà e segretezza delle comunicazioni e sulla libertà di manifestazione del pensiero” . Dichiarazione riportata nel sito ufficiale del Garante della privacy) e, in attesa delle sorprese sempre possibili in sede di conversione di un decreto legge, non ci resta che aspettare altri provvedimenti del legislatore e gli interventi, che certo non mancheranno, della Corte Costituzionale. Con buona pace di chi cercava nel codice un testo unico fonte di chiarezza? e siamo solo all’inizio!
di Andrea Lisi (*) e Maurizio De Giorgi (**)
Scint.it
(*) Avvocato in Lecce, Studio Legale Lisi . Titolare, con il dr. Davide Diurisi, dello studio associato D.&L. , consulenza aziendale e legale. Vice presidente del Centro Studi&Ricerche SCiNT . Curatore del portale per l’internazionalizzazione www.scint.it. Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. Docente in Master dedicati al diritto dell’informatica, presso l’Università di Lecce, Padova e Messina.
(**) Avvocato in Lecce, Studio Legale Lisi . Collabora con il Centro Studi&Ricerche SCiNT . Autore di numerosi saggi giuridici di approfondimento pubblicati on-line su diversi siti. Coautore con l’avv. Lisi del volume “Guida al codice della privacy” , Simone ed. 2003.
Degli stessi autori:
Quando un sito non è innocuo
Legittima la registrazione alla Personal Zone?
Ti potrebbe interessare
14 gen 2004