***
1. Premessa
Anche se con un po’ di ritardo, rispetto alle scadenze prefissate, il Consiglio dei Ministri ha approvato, in data 27.06.2003, un decreto legislativo che accorpa in un unico codice le disposizioni in materia di protezione dei dati personali.
Infatti già dal 2001 il legislatore aveva indicato[1] l’opportunità di compendiare le varie disposizioni in materia in un testo unico ad hoc, a causa della dispersività e talvolta ripetitività di talune disposizioni di aggiornamento della L. 675/96, al fine di coordinare le norme vigenti ed apportare le integrazioni o modificazioni necessarie, anche per “per assicurarne la migliore attuazione”.
Successivamente, ad acclarare tale esigenza, erano sopraggiunte le disposizioni previste dalla direttiva 2002/58 del Parlamento europeo e del Consiglio del 12 luglio 2002, afferente la privacy nel settore delle comunicazioni elettroniche, a seguito della quale veniva prorogato[2] il termine per l’adozione del presente codice, anche al fine del preventivo recepimento della citata direttiva[3].
2. Necessità di una regolamentazione: il contesto precedente.
Una delle innovazioni più importanti di questo decreto legislativo, di prossima pubblicazione in Gazzetta Ufficiale, è la previsione ex lege – e la relativa liceità – della conservazione dei dati ai fini investigativi, per favorire l’identificazione e l’accertamento dei responsabili di fatti penalmente rilevanti.
Infatti fino ad oggi, come è noto, non esisteva alcun obbligo di conservazione dei dati ai fini investigativi. Il decreto legislativo 13 maggio 1998, n. 171 – aggiornato ex dlgs. 467/01-, che ha recepito nel nostro ordinamento la direttiva 97/66/CE del 15 dicembre 1997, all’art. 4 prevedeva (rectius: prevede fino all’entrata in vigore del T.U.) che i dati personali relativi al traffico dovevano essere “cancellati o resi anonimi al termine della chiamata”, fatte salve le finalità di fatturazione, nel qual caso il trattamento era consentito fino alla fine del periodo durante il quale poteva essere legalmente contestata la fattura o preteso il pagamento[4].
In realtà le società di telecomunicazione ed in particolare gli Internet Service Provider, sensibilizzati in alcune occasioni dalle stesse associazioni di categoria, garantivano la conservazione delle informazioni utili all’Autorità Giudiziaria fino a 5 anni, pur senza un preciso obbligo giuridico. Non era però sanzionabile la condotta di alcune realtà imprenditoriali più piccole che, principalmente per motivi di snellimento dei costi, non conservavano[5] le informazioni – i cd. file di log -, risultando loro malgrado un ostacolo per le attività di indagine, sempre più spesso vincolate a queste informazioni.
Nel settembre 2001 e in gennaio 2002 alcuni parlamentari richiedevano, al ministro Castelli, di promuovere l’introduzione dell’obbligo di conservazione di queste informazioni digitali, in quanto asseritamente indispensabili ad accertare i reati informatici, in particolare per l’aumento di quelli aventi ad oggetto la pedopornografia. Il Ministro si diceva favorevole alla conservazione, a prescindere dal consenso dell’interessato, evidenziando che tale lacuna legislativa poteva essere colmata proprio con la stesura del testo unico sulla privacy.
Molti furono i commenti alle citate interrogazioni parlamentari, tra le quali il ministro Stanca si disse favorevole all’introduzione di un “anonimato protetto”, un sistema che obblighi il provider a conservare i dati in database sicuri che potranno essere forniti, su richiesta, alle autorità competenti. Altri, tra i quali lo stesso Garante, posero l’accento sul cd principio di proporzionalità, ovvero sulla necessità di conciliare le esigenze delle autorità inquirenti in materia di reati informatici con il diritto alla privacy dei cittadini. Paolo Nuti invece, Presidente dell’Associazione Italiana Internet Provider (Aiip), che sollecitava da tempo l’uso obbligatorio del registro “Cli” (calling line identification, che permetterebbe, se non l’auspicabile identificazione dell’utente, almeno la posizione geografica), affermò che la restrizione del diritto alla riservatezza non era necessariamente sinonimo di riduzione dei computer crimes, in quanto i responsabili di un’attività illecita, avendo il timore di essere controllati, si organizzeranno per aggirare i controlli e non lasciare tracce
3. Le novità introdotte.
Il decreto legislativo in parola, che entrerà in vigore per la quasi totalità dal 1 gennaio 2004, ha introdotto, tra l’altro, una distinzione tra le finalità civilistiche e penali, in ordine alla conservazione di dati da parte delle società di telecomunicazioni.
Infatti l’art. 123, che riguarda il trattamento dei dati relativi al traffico, dispone che il periodo di tempo entro il quale il fornitore può trattare i dati strettamente necessari per la fatturazione, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, non deve essere superiore ai sei mesi.
Parallelamente invece l’art. 132, in attuazione all’art. 15 della direttiva 2002/58 che attribuisce allo Stato membro la facoltà di adottare disposizioni volte a limitare alcuni diritti ed obblighi previsti dalla medesima direttiva quando ciò sia necessario per eccezionali esigenze di tutela di particolari interessi pubblici delimitati, dispone che, fermo restando quanto previsto dall’articolo 123 per la conservazione ai fini civilistici, i dati relativi al traffico siano conservati dal fornitore per un periodo non superiore a trenta mesi, per finalità di accertamento e repressione di reati.
Quindi per la prima volta viene introdotto un preciso obbligo giuridico di conservazione, con l’opportuna scelta del legislatore di non delineare le modalità operative di “gestione” delle informazioni, alle quali si rimanda ad un successivo decreto del Ministro della giustizia, di concerto con i ministri dell’interno e delle comunicazioni, su conforme parere del Garante.
In generale si prescrive, ex art. 32, una mera applicazione delle misure di sicurezza da parte di fornitori di servizi di comunicazione elettronica, come già indicato dall’art. 2 del d.lgs. 171/1998, anche per salvaguardare l’integrità dei dati trattati e delle comunicazioni elettroniche contro il rischio di intercettazione o altra abusiva cognizione ed utilizzazione.
In questa sede pare meritevole sottolineare come già da tempo, forse non sempre idoneamente, altre fonti del diritto di rango inferiore, avevano determinato l’obbligo di conservazione dei dati. Infatti già il Ministero delle attività produttive, con circolare n. 3547/C del 17 giugno 2002, al fine di garantire una sorta di controllo a posteriori sulla correttezza delle aste on line, contemplava l’obbligo di registrazione di “tutte le operazioni compiute durante la giornata”. A tal fine “la memorizzazione, realizzata anche per ogni singola asta, deve comprendere, in via esemplificativa, la pagina web contenente l’offerta e la descrizione del prodotto, la data di avvio dell’asta, il termine di validità dell’offerta, l’aggiudicatario dell’offerta, il prezzo pagato, nonché le modalità di consegna e di pagamento qualora queste informazioni siano state parte integrante dell’offerta”.
Analogamente il “Centro Tecnico per la rete unitaria della PA”[6], con la pubblicazione nel febbraio 2003 delle “Linee Guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata” e del relativo “Allegato Tecnico”, determinava un medesimo obbligo di conservazione delle tracce delle operazioni svolte, per un periodo di almeno due anni, disponendo altresì di “adottare le soluzioni tecniche ed organizzative che garantiscano la riservatezza e la sicurezza (autenticità ed inalterabilità nel tempo)” delle informazioni in esso contenute.
Le menzionate previsioni espresse dell’obbligo di conservazione dei dati, indubbiamente condivisibili, hanno segnato non pochi dubbi sulla legittimità di tali disposizioni, nel contesto normativo precedente all’entrata in vigore di questo testo unico.
4. Conclusioni
In realtà, come agevolmente si evince, l’introduzione dell’obbligo di conservazione dei dati è solo un primo passo, non risolutivo, nella normativa del trattamento delle tracce informatiche. La scelta operata dal legislatore è quella di evitare un precisa regolamentazione nella fase di predisposizione di un testo unitario per la privacy, con la finalità di evitare inutili disposizioni di dettaglio che avrebbero altresì appesantito ulteriormente il decreto e sarebbero velocemente risultate obsolescenti, attesa altresì la repentina evoluzione tecnologica nel settore delle telecomunicazioni.
Sarà quindi necessario impartire, nelle citate disposizioni di attuazione di rango inferiore, le modalità operative che consentano di garantire quanto già espresso da parte della dottrina in ordine alla integrità, attendibilità e non ripudiabilità delle informazioni conservate e trattate, da esibire all’Autorità Giudiziaria.
La necessità di preservare, archiviare e proteggere l’integrità delle tracce informatiche per lunghi periodi di tempo è strettamente legata all’integrità dei singoli processi, delle procedure e della sicurezza fisica degli accessi. Questi metodi sono però onerosi da implementare, non solo economicamente ma anche nell’azione di sensibilizzazione delle politiche di sicurezza, ma necessari al fine di rifuggire da potenziali errori, incidenti colposi o peggio ancora dolosi.
Come è facilmente ipotizzabile un file contenente testo è certamente quello più “sensibile” sotto questo profilo. I file di log, che tracciano le varie attività in rete dei navigatori dal momento della connessione, seppure creati in modo automatico da sistemi informatici e quindi aventi un valore più pregnante nella formazione della prova in un procedimento penale, sono comunque dei semplici file di testo. Purtroppo in Italia è ancora sottovalutato il problema della conservazione e della “certificazione” di questi dati ai fini investigativi i quali, proprio a causa della loro natura marcatamente aleatoria, sono suscettibili di modifiche colpose e/o dolose: per questo motivo, quindi, dovrebbe essere meglio regolamentata non solo la conservazione, preferibilmente in modalità crittografata, ma anche la produzione e la certificazione con strumenti simili alla firma digitale, prevedendo forme di ammortamento agevolato per le società private, che sarebbero inevitabilmente piegate sotto il peso dei cospicui costi di implementazione della piattaforma tecnologica.
Attendiamo quindi le disposizioni di dettaglio del legislatore, auspicando che sia garantita la genuinità del dato informatico[7], la provenienza e, non in ultimo, un riferimento temporale certo, già previsto per la firma digitale e per la posta elettronica certificata, sensibilizzando quindi i provider ad una maggiore accuratezza ovvero ottemperando sempre meglio ai principi di “confidentiality, integrity, availability”[8] delle tracce informatiche, fragili per antonomasia.
Note:
[1] Cfr. art. 1, comma 4, della legge 24 marzo 2001, n. 127.
[2] Cfr. articolo 26 della legge 3 febbraio 2003, n. 14.
[3] Cfr. Relazione d’accompagnamento al codice sulla privacy.
[4] In realtà il trattamento è possibile anche per finalità di commercializzazione di servizi di telecomunicazioni: in tal caso, però, occorre il consenso dell’interessato.
[5] Spesso veniva addotto che i servizi offerti erano gratuiti e quindi non vi era necessità di conservazione ai fini della fatturazione o della relativa contestazione.
[6] Al Centro Tecnico, organismo in seno alla Presidenza del Consiglio dei Ministri, è affidato, tra l’altro, il compito di ”Certification Authority” per la Pubblica Amministrazione ed ha il compito di definire ed attuare il programma di lavoro del piano di azione e-government svolgendo attività di coordinamento e gestione dei progetti di informatizzazione integrata delle Pubbliche Amministrazioni.
[7] Associando un’impronta digitale che distinguerà in maniera univoca il dato, al fine di ottemperare alle citate esigenze di integrità del dato. Tale “sigillo” viene creato con un’operazione cosiddetta di hashing a senso unico, ad esempio MD5, ovvero un algoritmo che genera un’impronta della lunghezza di 128 bit (16 byte), che costituisce un riferimento certo al testo originale ma non ne consente la ricostruzione. Tale algoritmo, utilizzato a livello internazionale, pur garantendo un buon livello di sicurezza in quanto anche una virgola modificata nel documento originale renderebbe non più correlabile l’impronta al medesimo, non consente da solo di collegare tale procedura all’identità del firmatario. Un utilizzo congiunto della firma digitale, invece, quella a doppia chiave (una pubblica e l’altra privata), come ad esempio PGP, RSA, o DSA, pur essendo più lenta, garantirebbe il legame tra l’impronta del documento e quella del firmatario.
[8] Confidenzialità, integrità e disponibilità delle informazioni
Scrivi un commento
Accedi per poter inserire un commento