Zoppica la legge sulla data retention

di Maurizio De Giorgi (StudioDL.it) - Le modifiche introdotte in Parlamento alla decretazione d'urgenza del Governo hanno migliorato un testo dai confini ampi e maldefiniti. Ma l'insieme delle normative non offre certezze

Roma - Torna a riaccendersi il dibattito, in realtà mai sopito, sul decreto legge 354/03, dettato in tema di data retention, definitivamente convertito in legge dopo l'esito favorevole di entrambi i passaggi parlamentari, prima alla Camera dei Deputati (ddl C. 4594) il 28 gennaio e poi al Senato della Repubblica (ddl S. 2716) il 18 febbraio.

In attesa che la relativa legge di conversione venga pubblicata nella Gazzetta Ufficiale, possono comunque muoversi alcuni rilievi al testo approvato dai due rami del Parlamento.

In sede di conversione sono state apportate delle modifiche al provvedimento originario che sembrano aver recepito alcune tra le molte critiche mosse, già all'indomani della sua emanazione, al medesimo articolato figlio del legislatore dell'emergenza.
Invero, il decreto in parola, da taluni indicato come il "Grande fratello" e da altri additato come il "Gattopardo" dei nostri giorni, aveva suscitato un coro di aspre critiche, sia nell'ambiente dei fornitori dei servizi della società dell'informazione, sia tra i giuristi esperti di diritto delle nuove tecnologie informatiche, preoccupati - a ragione - delle molteplici conseguenze negative che il malgradito regalo natalizio del nostro legislatore avrebbe prodotto, prima tra tutte la dilatazione dei tempi di conservazione dei dati attinenti al traffico.

Il decreto, peraltro, è stato fatto oggetto di più rilievi critici ed in molti lo hanno accusato di adoperare espressioni e termini dai contorni eccessivamente evanescenti, di legittimare la creazione di enormi banche dati spie delle condotte tenute dai cittadini, di comportare aggravi di spesa connessi alla conservazione eccessivamente protratta nel tempo degli stessi dati ed anche di essere, sotto diversi profili, in odore di incostituzionalità.

Lo stesso ricorso alla decretazione d'urgenza è in quanto tale opinabile; d'altronde nessuna contingenza di portata straordinaria ed urgente giustificava l'esercizio del potere di cui all'art.77 della Costituzione.

Il tema della conservazione dei dati, infatti, è ben risalente nel tempo e il legislatore delegato alla stesura del "Codice della privacy" (ovvero del decreto legislativo n. 196/03) ha avuto a disposizione tutto il tempo necessario per addivenire ad una scelta univoca e duratura sul tema senza dover ricorrere a modifiche urgenti in assenza dei relativi presupposti.

Dubbi questi certamente legittimi e provenienti anche da voci autorevoli nel panorama della disciplina del trattamento dei dati personali. Lo stesso Garante della privacy, infatti, ha sollevato più di un punctum dolens sulla correttezza delle scelte adottate dal nostro legislatore.

In sede di conversione, come anticipato, il testo in parola è stato fatto oggetto di alcune modiche con le quali il Parlamento ha cercato di correggere il tiro del Governo per pacificare gli animi di quanti si erano mossi contro il provvedimento di cui si discute.

Tra le modifiche più significative si annovera certamente la riduzione dei tempi previsti per la conservazione dei dati relativi al traffico dai trenta mesi originari ai ventiquattro del testo di conversione, sempre che ricorrano finalità di accertamento e repressione dei reati, nonché la riduzione dell'ulteriore periodo di conservazione dei medesimi dati (da trenta a ventiquattro mesi) per le finalità di accertamento e repressione dei più gravi reati previsti dall'articolo 407, comma 2, lettera a), del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.

Inoltre, la generica espressione "dati relativi al traffico" è stata sostituita da quella "dati relativi al traffico telefonico o alla corrispondenza via telematica" con la conseguenza che dovrebbe venir meno il controllo sulla navigazione in rete.

Orbene, come si è cercato di evidenziare, il decreto in parola nella sua veste originaria presentava taluni aspetti negativi, quali tempi eccessivamente lunghi di conservazione dei dati, numero eccessivo di informazioni da conservare (finanche sms, fax, e-mail?), ricaduta in termini di costi aggiuntivi per gli utenti dei servizi, pericolo di realizzare una sorta di schedario per ogni abitante, unitamente a qualche dubbio di costituzionalità, che mal si conciliavano con il principio di libertà che pregna di sè la nostra società.

Il testo convertito non può certo ritenersi immune da vizi, tanto è che le implicazioni pratiche ad esso connesse non tarderanno a far sorgere nuovi problemi, ma certamente è stato emendato di alcuni di essi.

Nel tempo la futura applicazione giurisprudenziale offrirà un sicuro contributo interpretativo cui attingere per la soluzione anche delle nuove questioni che verranno ad esistere.
Resta da auspicare che l'esigenza sottesa all'adozione del provvedimento in parola, ovvero quella di reprimere i fatti di reato, ed in particolare quelli più gravi che destano non poco allarme sociale nella collettività, non si traduca in una generalizzata compressione dei diritti dei consociati.

Dal trattamento dei dati personali, infatti, si può ricostruire la vita di ognuno di noi: dalle telefonate effettuate alle ore trascorse in ufficio, dai guadagni realizzati alle spese sostenute, dal credo religioso allo stato di salute fino ad arrivare all'esatta conoscenza dei luoghi frequentati e delle strade percorse.

Certamente ciò rappresenta una inestimabile fonte cui attingere - come di fatto avviene nelle operazioni di polizia - per assicurare alla giustizia gli autori di alcuni reati, ma non può (e soprattutto non deve) tradursi in una generalizzata forma di intervento preventivo sui fatti socialmente pericolosi.

Occorre, quindi, una regolamentazione certa per addivenire ad un giusto compromesso tra esigenze di libertà, da un lato, ed esigenze di sicurezza e repressione dei reati, dall'altro.
È compito del legislatore trovare i punti di contatto tra le opposte, ed entrambe legittime, esigenze ma di certo non ciò non potrà essere fatto né con lo strumento del decreto legge (foriero in quanto tale di fin troppi problemi) né attraverso il susseguirsi di scelte destinate a cambiare nell'arco di pochi mesi.

Si pensi, a proposito di quest'ultimo rilievo, che il decreto legislativo n. 196/03 ancora prima di entrare in vigore è stato oggetto delle modifiche apportate dal decreto legge n. 354/03 e che quest'ultimo testo, come detto, è stato convertito in legge con modiche.

Con buona pace della certezza del diritto, quantomeno nell'accezione della conoscibilità del precetto normativo, possiamo dire che l'art. 132 del codice della privacy (e non si tratta dell'unica norma modificata, ma certamente è la più importante) vanta già tre formulazioni: quella del legislatore delegato, quella del legislatore dell'emergenza, quella del legislatore in sede di conversione.

In attesa di qualche pronuncia demolitoria della Corte Costituzionale, o magari di qualche altro ripensamento (più o meno urgente) del Legislatore, il dibattito resta aperto con l'auspicio di arricchirsi dei contributi di quanti vorranno intervenire per sollevare nuovi dubbi e proporre nuove soluzioni.

Maurizio De Giorgi
Avvocato in Lecce, collabora nella Studio Associato D&L. e nello Studio Legale Lisi. Docente nel Corso di Alta Formazione in Diritto&Economia del Commercio Elettronico e Internazionale.
7 Commenti alla Notizia Zoppica la legge sulla data retention
Ordina
  • L'articolo e' nella sostanza condivisibile.

    Mancano credo alcune considerazioni su aspetti tecnici (ma anche legali) di notevole importanza:

    1) sicurezza e affidabilita' dei dati.
    Se i dati di log soggetti a retention possono essere utilizzati in indagini giudiziarie (civili e penali) quali sono le garanzie offerte (sia agli indagati sia agli inquirenti) sulla loro veridicita', sicurezza, riservatezza e affidabilita' (prevenzione delle alterazioni in buona o malafede ec..)?
    La questione non e' affatto di scarsa rilevanza ne tecnica ne giuridica.
    Esistono standard di sicurezza (riconoscuiti) che comportano la verifica e l'accertamento della conformita' dei prodotti/sistemi/metodologie utilizzati (BS7799, Common Criteria, ITSEC ecc.) ma la legge non li prende in nessuna considerazione.
    Cio' alza il livello di rischio in modo inacettabile.
    Non sono indicati requisiti di nessun tipo riguardo la sicurezza fisica o logica ne dei dati ne dei supporti ne dei mezzi di acquisizione di tali dati, con la ovvia conseguenza di possibili alterazioni, ostacolo alle indagini coinvolgimento di possibili persone estranee ecc. (sia in modo involontario che fraudolento).

    2) La legge introduce il rischio di discriminazioni tra cittadini "scafati" e cittadini "ingenui".
    In parole povere il cittadino "scafato" (con adeguate conoscenze tecniche) e' in grado a costo zero di mettere in opera server di mail e comunicazione gestiti in proprio (questa e' la natura stessa della rete) e quindi non "loggati" dai provider nazionali e comunicazioni cifate e non (anche telefoniche) su "tunnel" e non "tracciabili" con gli strumenti predisposti dalla legge in questione.

    Tale possibilita' e' invece negata di fatto al cittadino "ingenuo" (senza adeguate conoscenze tecniche).
    Questo potrebbe precostituire una base di una preoccupante "diseguaglianza di fatto" di fronte alla legge.

    Il "legislatore" ha in questo caso compiuto un errore marchiano, ovvero :
    Da una parte ha costruito una ipotesi basata sulle tecnologie "piu' diffuse" (ma non certo le uniche) invece che sul principo giuridico astratto, mentre dall'altra parte, si e' dimostrato ugualmente ignorante (come al solito) sull'uso "evoluto" di tali tecnologie e delle possibilita' tecniche di rendere inefficace (nella sostanza) il provvedimento utilizzando la semplice conoscenza tecnica in modo perfettamente legale.

    Mi ricorda molto (chissa' perche'?) i "promessi sposi" di Manzoni....
    Saluti
    non+autenticato
  • Questa e' la pura e semplice verita'. Agli italiani della privacy non interessa nulla, l'unica cosa che gli frega e' che i servizi costino poco, che si possa scroccare a palla, che il telefonino emetta degli arpeggi molto sofisticati e che la macchina rombi come deve. Se poi, per avere questo, devono sottoporsi ad una sonda neurale e corporale certo non si fanno problemi. Perche' sono fichi.
    non+autenticato
  • si e` vero

    popolo di pecoroni

    del resto l'italia e` quella nazione che si e` fatta trascinare nell'idiozia del fascismo, quale prova maggiore della sua deficenza...
    non+autenticato

  • - Scritto da: Anonimo
    > Questa e' la pura e semplice verita'. Agli
    > italiani della privacy non interessa nulla,
    > l'unica cosa che gli frega e' che i servizi
    > costino poco, che si possa scroccare a
    > palla, che il telefonino emetta degli
    > arpeggi molto sofisticati e che la macchina
    > rombi come deve. Se poi, per avere questo,
    > devono sottoporsi ad una sonda neurale e
    > corporale certo non si fanno problemi.
    > Perche' sono fichi.

    No,
    Io non lo credo, io credo che gli italiani (cosi come i cittadini di altri paesi) ) si trovino semplicemente nell'impossibilita' di reagire.

    Quello della Privacy e' uno degli innumerevoli problemi che i cittadini si vedono costretti a fronteggiare.
    Siamo in una situazione per cui da una parte esistono gruppi organizzati con risorse econoniche, culturali etc.. per "invertarsi" tutte le norme che piu' gli aggradano e dall'altra singoli individui (la maggiornaza) che lottano ogni santo giorno per sopravvivere e per cercare di ritagliarsi uno spicchio di felicita' con i modi e i mezzi che gli sono concessi.
    La lotta e' impari.
    Tanto per essere concreti, il tempo per questo mio post lo sto' rubando al mio tempo di lavoro, questa sera dovro uscire piu' tardi perche' non vengo pagato per esprimere opinioni sul problema della Privacy ma per produrre altro.

    Come si puo' dare la colpa a me (o ad altri italiani) quando questa porposta di legge e' stata fatta da gente che ha tutto il tempo per "ragionare serenamente" (viene pagata per questo) e tutte le risorse economiche per non doversi preoccupare del mutuo o dell'assicurazione che scade.

    Se vuoi incazzarti con qualcuno prova a dare uno sguardo alle firme poste sotto il decreto.

    non+autenticato
  • I servizi non possono costare meno con la data retention, visto che mantenere archivi di dati costa.
    non+autenticato
  • "Tra le modifiche più significative si annovera certamente la riduzione dei tempi previsti per la conservazione dei dati relativi al traffico"

    Esattamente cosa verrà loggato?
    Cosa intendono per dati relativi al traffico?
    Quali protocolli loggheranno?

    Perchè sul decreto pubblicato si fa riferimento genericamente a "dati relativi al traffico".

    ma qui si legge

    "Dal trattamento dei dati personali, infatti, si può ricostruire la vita di ognuno di noi: dalle telefonate effettuate alle ore trascorse in ufficio, dai guadagni realizzati alle spese sostenute, dal credo religioso allo stato di salute fino ad arrivare all'esatta conoscenza dei luoghi frequentati e delle strade percorse."

    Per ciò fare, bisogna loggare molta roba, mica solo smtp, pop3, ma pure http se vogliono "arrivare all'esatta conoscenza dei luoghi frequentati e delle strade percorse".
    non+autenticato
  • al momento buono si puo ricorrere a https (anchje se e' una fregnata) e a programmi di encript sia par la posta che per il resto
    sai cosa se ne fanno di un ciao arrivo in e-mail trattata con pgp

    ci vogliono sempre quei 15 gg per decodificarla, pensa te se lo fanno tutti in modo trasparente

    per le chat e resto uguale pensa a waste funziana come irc
    quindi si puo fare un server waste



    non+autenticato