A proposito di data retention, la “Legge Europea 2017” (Legge 20.11.2017 n. 167 pubblicata sulla Gazzetta Ufficiale Serie Generale n. 277 del 27.11.2017), meglio nota come “direttiva ascensori” in ragione del principale provvedimento che la caratterizza, contiene al suo interno un articolo che porta a settantadue mesi (6 anni) la data retention, ovvero il tempo di conservazione dei dati di traffico telefonico e telematico da parte degli operatori di telefonia e telecomunicazioni.
L’art. 24 della legge 167/2017 sulla data retention
L’articolo in questione recita
Art. 24 Termini di conservazione dei dati di traffico telefonico e telematico: 1. In attuazione dell’articolo 20 della direttiva (UE) 2017/541 del Parlamento Europeo e del Consiglio, del 15 marzo 2017 sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio, al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale, il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, di cui all’articolo 4-bis, commi 1 e 2, del decreto-legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla legge 17 aprile 2015, n. 43, è stabilito in settantadue mesi, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.
L’introduzione alquanto bislacca ma non nuova nella nostra storia legislativa di una norma avulsa dalle tematiche del contenitore nel quale è inserita, nasce da un emendamento parlamentare presentato in sede di discussione durante i lavori che hanno portato all’approvazione della legge stessa ed è stato motivato con l’esigenza di avere a disposizione “un ulteriore strumento per prevenire e contrastare il terrorismo…”.
Tale termine di conservazione dei dati non è certamente armonizzato con quello di altri paesi dell’Unione Europea come poteva essere nel caso di recepimento di una direttiva comunitaria; anzi, andando a rileggere alcune posizioni della Corte di Giustizia espresse in sentenze del passato su altre direttive che miravano ad aumentare i termini di data retention in ambito UE, non è ipotesi astratta quella di vedere a breve un intervento sanzionatorio della Corte di Giustizia su questa norma approvata dal Parlamento italiano.
Peraltro la stessa direttiva citata nell’art. 24 nulla dice non solo in merito al termine di sei anni, ma in uno dei “considerando” invita a far ricorso al principio di proporzionalità e a rispettare i dati personali nelle indagini, ciò a dimostrazione che l’iniziativa di portare a sei anni il tempo di conservazione dei dati sia stata una iniziativa della politica italiana.
Data retention e tutela della privacy
Non appena avuta notizia dell’inserimento dell’emendamento parlamentare sulla data retention alla Legge Europea, lo stesso Garante Privacy Antonello Soro non ha avuto esitazioni nello stigmatizzare tale proposta, rappresentando i maggiori rischi per la Privacy dei cittadini derivanti dall’aumento del termine di conservazione dei dati. Secondo il Garante sono troppo sei anni, invitando il legislatore a ricondure questa disciplina al criterio della proporzionalità.
A nostro avviso le perplessità del Garante sono assolutamente condivisibili, a maggior ragione tenendo presente che con l’elevato e costante aumento degli attacchi informatici che con cadenza quasi quotidiana si verificano a danno di semplici cittadini, Istituzioni Pubbliche e Aziende di ogni dimensione, una tale mole di dati da conservare per tanto tempo imporrà ingenti investimenti in misure di sicurezza da parte di chi detiene i dati per non incorrere poi in pesanti interventi sanzionatori in caso di perdita o sottrazione di dati sensibili.
Alfonso Buccini