La data retention a sei anni. Siamo proprio sicuri si possa fare?
Il dubbio aleggia fin dalla notizia dell’emendamento proposto all’articolato del Disegno di legge (DDL) recante “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017” (Atto C 4505 – A), proposto dagli onorevoli Verini, Mucci e Berretta nella seduta della Camera dei deputati n. 837 del 19 luglio scorso. L’emendamento, intervenuto alla chetichella, chiude la norma per la sicurezza degli ascensori (art. 12 – bis) e viene proposto solo a conclusione dei lavori parlamentari, ovviando ad ogni più utile e necessario confronto; esso, in un contesto del tutto fuorviante (la sicurezza degli ascensori appunto) si prefigge di “garantire strumenti di indagine efficaci tenuto conto delle straordinarie esigenze di contrasto al fenomeno del terrorismo, anche internazionale, per le finalità di accertamento e repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale”, e allo scopo prevede che “il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, di cui all’articolo 4-bis, commi 1 e 2, del decreto- legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla legge 17 aprile 2015, n. 43, è stabilito, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del decreto legislativo 30 giugno 2003, n. 196, in settantadue mesi”.
Ovvero sei anni di dati di traffico telefonico (che comprenderebbe, per esplicita previsione, anche quello prodotto dalle chiamate senza risposta. Non si sa mai servano!!!) e telematico.
Le Telco (ovvero i fornitori dei servizi di comunicazione elettronica di cui all’art. 132 del D.lgs. n. 196/2003) condannate alla disposofobia (“disturbo da accaparramento compulsivo”), senza se e senza ma.
La legittimità di cui si ammanta l’emendamento dipenderebbe, secondo i suoi estensori, dall’ “attuazione dell’articolo 20 della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio del 15 marzo 2017 sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio”.
Ma è proprio così?
La norma richiamata opera un rinvio piuttosto generico alle modalità operative (e agli strumenti di indagine) mediante le quali gli Stati membri possono determinarsi al contrasto al terrorismo, senza, però, far cenno alla data retention. La sua mancata menzione non è un caso poiché l’Europa, da tempo, ha preso posizione in merito, e delle più garantiste.
Lo ribadisce Antonello Soro, Presidente dell’Autorità garante per la protezione dei dati personali, che, in occasione di un’audizione presso il Copasir dello scorso 25 luglio, esprime le sue più che ragionevoli perplessità: “L’emendamento Verini segue la stessa impostazione di precedenti interventi che negli anni scorsi hanno modificato la disciplina della data retention. E, come già accaduto nel 2015, la norma introduce modalità di trattamento dei dati di traffico telefonico e telematico in palese contrasto con l’ordinamento e con la giurisprudenza dell’unione europea” .
Il riferimento è agli interventi in deroga che negli anni hanno condizionato l’applicazione dell’articolo 132 del D.lgs. n. 196/2003 – Codice in materia di protezione dei dati personali. L’ultimo in ordine di tempo è quello di cui all’art. 4 – bis, commi 1 e 2, del D.L. n. 7/2015, convertito con modificazioni, dalla Legge n. 43/2015 (come modificato dal decreto legge 30 dicembre 2015, n. 210, convertito con modificazioni dalla legge 25 febbraio 2016, n. 21), richiamato nell’art. 12 – ter del DDL, le cui disposizioni speciali hanno cessato di applicarsi a partire dal primo luglio 2017. Scaduto il quale, e con esso la deroga all’art. 132 del D.lgs. n. 196/2003, la disciplina generale sulla data retention ritrova la sua efficacia originaria, ovvero ristabilisce i termini di conservazione/ritenzione dei dati di interesse al fine del più concreto perseguimento delle finalità di repressione e accertamento dei reati. Essi ad oggi si estendono, dalla data della prima comunicazione, fino a:
- 24 mesi per i dati di traffico telefonico;
- 12 mesi per i dati di traffico telematico;
- 30 giorni per le chiamate senza risposta.
Tanto se non fosse per l’avvicendarsi, repentino almeno in teoria, dell’emendamento portato dal DDL, che potrebbe minare la certezza per cui le Telco, seppur obbligate alla cancellazione dal primo luglio scorso, non si siano adoperate in tal senso, trattenendo i dati telematici e telefonici, già conservati in forza della deroga del 2015 e che superino i termini suddetti, in funzione dei nuovi obblighi che fanno capolino con l’emendamento. Con il rischio di comprometterne l’utilizzabilità, ai sensi dell’art. 11 del D.lgs. n. 196/2003.
Al di là di simili perplessità, si constati che, quella attuale, è una deroga consistente alla disciplina generale sulla data retention. Una deroga in odore di incostituzionalità (o quanto meno di inapplicabilità).
Già con la precedente si era posto il problema, poiché la norma speciale interveniva in attuazione della direttiva 2006/24/CE nonostante dalla sua adozione (e recepimento, in Italia con il D.lgs. n. 109/2008) i tempi e la percezione del “buon espediente contro la criminalità, soprattutto eversiva” fossero cambiati. Al punto che la Corte di giustizia europea (C.G.U.E.) con la sentenza 8 aprile 2014 decideva per la definitiva inapplicabilità della direttiva, poiché a rischio di giustificare un’ingiustificabile sorveglianza di massa; il rischio non è peregrino se si pensa all’evidente spregio dei principi di proporzionalità tra interesse perseguito, la sicurezza, e i diritti fondamentali lesi a sua garanzia (diritto alla riservatezza in primis). La direttiva era, secondo la C.G.U.E., troppo sbilanciata verso il primo che non lesinava a condannare a causa della sostanziale e pericolosa genericità e indeterminatezza (riguardo ai reati considerati, alla loro gravità, e ai tipi di dati utilizzati come strumenti di indagine) cui rimandava. Altrettanto la C.G.U.E. ribadisce nella sentenza più recente (del 21 dicembre 2016 la “famosa” sentenza Tele2).
Gli Stati membri non tardavano ad accodarsi e, pertanto, procedevano o a sospendere l’applicabilità della direttiva o, anche, a dichiarare incostituzionali le leggi nazionali di recepimento.
E’ dunque chiaro che le norme e la giurisprudenza europea, oggi più attuale che mai, precludono, una raccolta generale e indiscriminata dei dati di traffico telefonico (chiamate senza risposta comprese) e telematico, perché non e proporzionata alle esigenze investigative e al nucleo essenziale del diritto alla protezione dati e non può quindi essere giustificata in una società democratica. Tanto ribadisce anche il Garante e aggiunge:
“L’acquisizione dei dati stessi, inoltre, deve secondo la corte di giustizia essere soggetta a specifiche condizioni, incluso il controllo da parte di un giudice o un’autorità indipendente. La sorveglianza non può mai essere generalizzata e massiva ma, lo precisa la corte di giustizia nella recente sentenza Tele2, deve fondarsi su requisiti individualizzanti, rivolgendosi cioè nei confronti di soggetti coinvolti, in qualche misura, in attività criminose ovvero limitandosi a specifici luoghi nei quali emergano esigenze investigative relative, sempre, a gravi reati e previa adeguata delimitazione temporale della durata della conservazione“.
Nonostante ciò, l’unica voce fuori dal coro “parla” italiano.
Il rischio, quindi, è che l’emendamento si imponga pur non potendo. Alla smania di creare un ambiente sicuro e garantito per accogliere quella che si prospetta come una gran mole di dati, raccolti e archiviati senza un criterio e un obiettivo preciso, potrebbe corrispondere la necessità di cancellare tutto (o quasi), con buona pace dell’investimento, economico e di immagine delle Telco, se e quando l’Italia si accorgerà che forse quello della Corte di giustizia europea non è un intervento isolato e neanche un mero consiglio.
Proprio sull’opportunità applicativa (o meglio sulle possibili incompatibilità con il diritto dell’Unione europea) della norma in fieri che si sofferma l’Avv. Cristina Vicarelli, da tempo vicina a Privacy.it, nel suo commento all’emendamento, di cui si vuole qui condividere la chiosa eloquente “Non è dato sapere se il legislatore persevererà nell’adozione di una norma tanto criticata, ma certamente, più aumenta il dibattito intorno alla norma, più i rischi sopra segnati crescono esponenzialmente, senza contare che prima o poi, comunque, l’utilità che il legislatore si attende di trarre dall’approvanda norma verrà incenerita sulla scorta della giurisprudenza della C.G.U.E. Siamo sicuri che il gioco valga la candela?”