La data retention è una pratica che consiste nell’obbligare i fornitori di servizi informatici, telematici e di comunicazione a conservare i dati degli utenti per un determinato periodo di tempo. Questa pratica è spesso utilizzata dalle autorità per scopi di indagine (premere qui per sapere di più sulle indagini ad oggetto informatico della P.G. e del P.M.), prevenzione e contrasto di reati informatici, terrorismo e altre attività illegali. E tra i mezzi di ricerca della prova ad oggetto informatico assume particolare rilievo l’art. 256 c.p.p.
La norma introduce un dovere di esibizione in base al quale
le persone indicate negli articoli 200 e 201 devono consegnare immediatamente all’autorità giudiziaria, che ne faccia richiesta, gli atti e i documenti, anche in originale se così è ordinato, nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto (2), e ogni altra cosa esistente presso di esse per ragioni del loro ufficio, incarico, ministero, professione o arte, salvo che dichiarino per iscritto che si tratti di segreto di Stato ovvero di segreto inerente al loro ufficio o professione”.
L’art. 256 c.p.p. impone quindi un generale dovere di esibizione a carico dei soggetti indicati negli artt. 200 e 201 c.p.p. tra i quali possono essere fatti anche rientrare i fornitori di servizi informatici, telematici e di comunicazione. È sulla base di tale idea che la Giurisprudenza ha ritenuto che, per l’acquisizione dei tabulati telefonici e telematici, fosse necessario e sufficiente il decreto motivato del Pubblico Ministero, come del resto previsto anche dall’art. 132, Co. 3, D.lgs. 196/2003:
entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private”.
L’ordine di esibizione dell’Autorità giudiziaria diretto ai provider di servizi telefonici e telematici va quindi letto alla luce degli obblighi di conservazione dei dati di traffico imposti ex lege a questi ultimi. In particolare:
- i dati relativi al traffico telefonico, sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione (Art. 132, Co. 1, D.lgs. 196/2003);
- i dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni. (Art. 132, Co. 1-bis D.lgs. 196/2003);
- il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta per la repressione dei reati legati al terrorismo internazionale è stabilito in settantadue mesi (Art. 24, l. 20/11/2017, n. 167).
Le categorie di dati esterni da conservare per le finalità di cui all’art. 132 D.lgs. 196/2003 sono invece puntualmente indicate nell’art. 3 D.lgs. 30/05/2008, n. 109. In particolare, dati che devono essere conservati sono:
- i dati necessari per rintracciare e identificare la fonte di una comunicazione;
- i dati necessari per rintracciare e identificare la destinazione di una comunicazione;
- i dati necessari per determinare la data, l’ora e la durata di una comunicazione;
- i dati necessari per determinare il tipo di comunicazione;
- i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature;
- i dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile.
Alla luce di tutto quanto sin qui esposto, sebbene la data retention possa essere utile per l’attività investigativa delle autorità, che possono procedere, ove necessario, al sequestro dei dati informatici presso i fornitori di servizi informatici, telematici e di comunicazione essa può anche rappresentare una minaccia alla privacy degli utenti e alla libertà di espressione on-line. Infatti, la conservazione dei dati degli utenti può essere utilizzata per sorvegliare le attività on-line degli individui, limitare la libertà di espressione e discriminare contro gruppi specifici. Come accadde anni fa negli Stati Uniti d’America (c.f.r. scandalo Wikileaks). Va comunque detto che sebbene il rischio di divulgazione di informazioni riservate esista, in Italia ci sono misure di sicurezza e leggi che cercano di mitigare tali rischi e proteggere i dati e la privacy degli individui e delle istituzioni.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024