Roma – Imporre ai Provider la conservazione preventiva di tutti i dati di traffico(telefonico, Internet, di posta elettronica) è contrario alla Convenzione europea dei diritti umani. E questo a prescindere dal fatto che i dati sul traffico telefonico, Internet o di posta elettronica siano stati richiesti per concrete esigenze di indagini giudiziarie e di polizia. Questo quanto espresso in sintesi dai Garanti della Privacy dei 25 Paesi europei con Parere n.9/2004 adottato recentemente dal Gruppo che riunisce a Bruxelles le Autorità europee per la protezione dei dati .
Il Parere risponde alla proposta di decisione-quadro del Consiglio Ue presentata da quattro Paesi europei (Francia, Irlanda, Regno Unito, Svezia – doc. 8958/04 del 28 aprile 2004) volta ad obbligare ai Provider dei Paesi europei a conservare, per un periodo che varia dai 12 ai 36 mesi, tutti i dati di traffico e localizzazione utilizzati per fornire servizi di comunicazione (servizi di telefonia, compresi SMS e MMS, servizi internet, posta elettronica, Voice-over-IP, FTP, servizi su banda larga), a prescindere dal fatto che ne sia stata richiesta copia a fini di prevenzione, indagini, accertamento e perseguimento di reati.
I dati sono quelli necessari per identificare la fonte e la destinazione di una comunicazione, i servizi usufruiti, l’ora e la durata della comunicazione, il tipo di comunicazione, l’apparecchiatura utilizzata e la localizzazione della comunicazione.
I Garanti per la privacy europei mantengono dunque, in tema di conservazione dei dati relativi al traffico, una ferma posizione su alcuni principi già espressi alcuni anni fa in occasione delle Conferenze di primavera dei Garanti Europei tenutesi a Stoccolma (aprile 2000) e ad Atene (maggio 2001) e ribaditi in diverse altre occasioni.
Nelle Conferenze di Stoccolma ed Atene i Garanti europei avevano precisato che la conservazione dei dati relativi al traffico per un periodo lungo (“di un anno o più”), allo scopo di consentire l’eventuale accesso da parte delle forze dell’ordine e degli organismi preposti alla sicurezza, costituirebbe un’indebita compressione dei diritti fondamentali garantiti ai singoli dall’art. 8 della Convenzione europea sui diritti dell’uomo, così come ulteriormente sviluppati nella giurisprudenza della Corte europea dei diritti dell’uomo, oltre che degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea.
In una Dichiarazione approvata in occasione della Conferenza internazionale di Cardiff (9-11 settembre 2002) i Garanti europei avevano precisato che “la conservazione dei dati di traffico per scopi connessi all’attività delle forze dell’ordine dovrebbe essere conforme alle rigide condizioni previste dall’art.15 (1) della Direttiva – ossia, caso per caso, solo per un periodo limitato e purchè necessaria, opportuna e proporzionata all’interno di una società democratica. Pertanto, qualora sia necessario, in casi specifici, conservare dati di traffico, deve sussistere un’esigenza dimostrabile, il periodo di conservazione deve essere quanto più breve possibile e le relative modalità devono essere disciplinate con chiarezza attraverso disposizioni di legge, in modo da offrire garanzie sufficienti contro accessi non autorizzati ed ogni altro tipo di abuso.
La conservazione sistematica di dati di traffico delle più svariate tipologie per un periodo di un anno o anche maggiore sarebbe evidentemente sproporzionata e, quindi, in ogni caso inaccettabile”.
Tale Dichiarazione dava man forte ai principi stabiliti nella Direttiva 2002/58/CE, in materia di trattamento dei dati relativi al traffico (definiti all’art. 2 come “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione”). Mentre l’art. 15 della Direttiva apriva il campo alla regolamentazione nazionale attribuendo allo Stato membro la facoltà di adottare disposizioni volte a limitare i diritti e gli obblighi inerenti al trattamento dei dati relativi al traffico “qualora tale restrizione costituisca, ai sensi dell’art. 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato (…)”.
I Garanti per la privacy europei, con Parere n.1/2003, rimarcavano nuovamente i principi espressi più volte in passato, precisando peraltro che i dati relativi alla fatturazione del traffico telefonico potessero essere conservati non oltre i 6 mesi, tranne casi particolari (ad esempio qualora una fattura sia contestata dall’abbonato o in presenza di dati acquisiti per motivi di sicurezza nazionale, ordine pubblico, indagini penali).
L’unica eccezione, sottolineavano i Garanti, è rappresentata dall’esistenza di una specifica riserva di legge: tale è, ad esempio, il caso delle eventuali deroghe proporzionate, previste in quanto effettivamente “necessarie” per la salvaguardia della sicurezza nazionale, della difesa o dell’ordine pubblico, oppure per il perseguimento dei reati e per le indagini penali.
Il legislatore italiano, dando attuazione all’art. 15 della Direttiva 2002/58, ha disciplinato la conservazione dei dati di traffico agli artt. 123 e art. 132 del Dlgs. 196/2003. Tale disciplina ha sofferto l’assenza di precise indicazioni normative europee sui tempi di conservazione dei dati di traffico, tanto da renderne necessaria una modifica con decreto legge n.354/03 (divenuto legge il 26 febbraio 2004) che ha portato ad un’integrale riformulazione dell’art. 132 del Dlgs. 196/2003, relativo alla conservazione dei dati di traffico per finalità di accertamento e repressione di reati (per un approfondito commento sulla modifica dell’art. 132 si veda l’articolo di Andrea Lisi e Maurizio De Giorgi su Punto Informatico ).
Il vecchio testo della norma stabiliva genericamente che “Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione di reati, secondo le modalità individuate con decreto del Ministro della giustizia, di concerto con i Ministri dell’interno e delle comunicazioni, e su conforme parere del Garante”.
Il nuovo testo dell’art. 132 si articola in 5 commi che disciplinano in maniera dettagliata le operazioni di conservazione e di acquisizione al giudizio dei dati di traffico per finalità di accertamento e repressione di reati.
Il recente Parere (n.9/2004) dei Garanti della Privacy europei va senza dubbio ad interferire con quanto disposto dai commi 2, 3 e 5 dell’art. 123 e dai commi 1 e 2 dell’art. 132, considerando illegittima la conservazione preventiva ed aprioristica di tutti i dati relativi al traffico, anche nell’ipotesi in cui questi siano stati richiesti per concrete esigenze di indagini giudiziarie e di polizia. Un obbligo di conservare preventivamente per un certo periodo tutti i dati di traffico e localizzazione utilizzati dai Provider per fornire servizi di comunicazione – affermano i Garanti europei – sarebbe contrario ai principi di proporzionalità, pertinenza e finalità specifica cui si deve ispirare ogni operazione di trattamento dei dati personali: nell’utilizzare i dati di traffico per finalità giudiziarie o di polizia è necessario rispettare la Convenzione europea dei diritti umani.
L’art. 8 (2) della Convenzione, stabilisce, infatti, che un’interferenza nella vita privata delle persone – che si verrebbe a realizzare imponendo ai Provider un obbligo di conservare obbligatoriamente, per un periodo che varia dai 12 ai 36 mesi, tutti i dati di traffico e localizzazione utilizzati per fornire servizi di comunicazione – è ammissibile soltanto se ha un adeguato fondamento giuridico, se risponde a criteri di necessità nel quadro di una società democratica e se è conforme agli scopi legittimi previsti dalla Convenzione stessa.
Qualora fosse adottata la decisione-quadro del Consiglio Ue presentata da quattro Paesi europei (Francia, Irlanda, Regno Unito, Svezia – doc. 8958/04 del 28 aprile 2004), la sorveglianza delle comunicazioni, che dovrebbe essere un’eccezione mossa da una necessità (sicurezza nazionale, ordine pubblico, perseguimento di reati, etc?) si trasformerebbe in una pericolosa regola. Tutti gli utenti, e non solo i potenziali sospetti o i criminali, ne subirebbero le conseguenze, e verrebbero inevitabilmente violati i principi stabiliti dalla Convenzione europea sui diritti umani, nonchè i principi generali che sono alla base della disciplina del trattamento dei dati personali.
Come si atteggerà il legislatore italiano, nonché il legislatore degli altri Paesi, di fronte a questa nuova precisazione dei Garanti europei?
Avv. Giancarlo Barbon
Studio Legale Sarzana & Partners
www.lidis.it