Unico caso nell’Ue. Da domani agli operatori telefonici sono obbligati a conservare i dati del proprio traffico telefonico e telematico, nonché quelli relativi alle chiamate senza risposta, per il termine di 72 mesi. Lo prevede la Legge Europea 2017, in vigore appunto dal 12 dicembre, che prolunga i termini di conservazione dei dati di traffico telefonico e telematico (Legge 167/2017, art. 24).
Il legislatore ha così esteso in maniera significativa le tempistiche già previste, per finalità di accertamento e repressione dei reati, dall’art. 132 del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003) per la conservazione dei dati del traffico telefonico (24 mesi), del traffico telematico (12 mesi) e delle chiamate senza risposta (30 giorni). Questi termini erano stati già estesi una prima volta dall’art. 4-bis D.L. 7/2015, che aveva previsto un obbligo di conservazione fino ad una specifica data (30 giugno 2017); con la Legge Europea 2017, invece, il legislatore ha prolungato i tempi di conservazione dei dati di traffico.
Il termine dei 72 mesi è stato introdotto con un emendamento presentato da Walter Verini (PD) con questa motivazione: “Dalle audizioni parlamentari la Procura nazionale antiterrorismo ha suggerito alla politica uno strumento ulteriore per prevenire e contrastare il terrorismo, questo è proprio una conservazione più a lungo termine dei dati del traffico telefonico e telematico”.
La legge è stata approvata con la finalità di contrasto e prevenzione della criminalità e di lotta al terrorismo e, a tale riguardo, viene indicato espressamente un “ancoraggio” comunitario nell’art. 20 della Direttiva UE 2017/541, ai sensi del quale gli Stati Membri adottano le misure necessarie per assicurare efficaci strumenti per l’indagine e l’esercizio dell’azione penale contro i reati legati al terrorismo.
Peraltro, tempistiche di conservazione dei dati di traffico così prolungate trovano ben poche analogie in altri Stati Membri, e ciò solleva quanto meno dubbi sulla proporzionalità della norma in esame, anche in relazione all’attuazione del suddetto art. 20 Direttiva UE 2017/541. Tale disposizione, infatti, pone un obiettivo generale in capo agli Stati, la cui connessione rispetto alla tempistica di conservazione dei dati di traffico introdotta in Italia non appare di immediata percezione.
Inoltre, l’art. 24 della Legge Europea 2017 solleva dubbi di compatibilità anche con quanto statuito dalla Corte di Giustizia che, nella sentenza 8 aprile 2014, cause riunite C-293/12 e C-594/12 Digital Rights Ireland, aveva annullato la Direttiva 2006/24/CE nella parte in cui stabiliva un termine di conservazione dei dati compreso tra 6 mesi e 24 mesi. Secondo la Corte, infatti, tale direttiva determinava un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personale e, quindi, si poneva in contrasto con il principio di proporzionalità in quanto non limitava i suddetti diritti a quanto strettamente necessario. Sotto questo profilo, è perciò inevitabile interrogarsi anche sulla proporzionalità del termine di 72 mesi (ossia il triplo del termine esaminato dalla Corte di Giustizia) introdotto dal legislatore italiano.
Come detto la norma è un unicum nell’Unione europea e anche per questo motivo ha espresso la sua contrarietà Antonello Soro, Garante Privacy. “Se la minaccia di attacchi informatici è quotidiana diventa ancora più incomprensibile la decisione di aumentare fino a 6 anni la Data Retention, ignorando, non solo le sentenze della Corte di giustizia europea, ma anche il buon senso”, ha detto Soro, il 24 ottobre scorso, durante il convegno Privacy digitale e protezione dei dati personali tra persona e mercato svoltosi a Firenze.
Il Garante ha motivato nel dettaglio la preoccupazione per la protezione dei dati personali degli italiani: “Al giorno sono circa 5 miliardi i dati di traffico telefonico e telematico conservati dagli operatori e dagli Internet Service Provider e questa prassi di conservarli per 6 anni in modo indistinto andrebbe nella direzione opposta di proteggere la privacy del nostro Paese e dei cittadini”.
E come l’Italia anche gli Stati membri della Ue si stanno muovendo per estendere i tempi di retention dei dati dei cittadini sospetti di crimini, terrorismo e cybercrime, aggirando così i limiti fissati dalla Corte di Giustizia, in difesa dei diritti fondamentali e le leggi europee su privacy e Data protection.
Il piano generale dei ministeri europei si basa su un nuovo concetto di “restricted data retention”, da applicare appunto per la lotta al terrorismo, a crimini seri e rischio di cyberattacchi. La nuova normativa, che concederebbe a Governi e Polizia mano libera all’acceso dei dati dei cittadini, potrebbe essere introdotta a livello europeo fra gli emendamenti della nuova bozza di regolazione ePrivacy, in discussione a Bruxelles, oppure direttamente con interventi legislativi a livello nazionale.
I ministri europei hanno pubblicato il loro piano, che tra le altre cose prevede di abbassare da tre anni a sei mesi il limite dei “crimini seri” che vietano alla polizia di sorvegliare e raccogliere dati di sospetti criminali.
Ciò significa di fatto che la polizia, se il piano passerà, potrà continuare ad ottenere tabulati telefonici, email e messaggi privati in nome della lotta al crimine.