Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Protezione dei dati personali

Data retention: la soluzione inglese

di Gloria Marcoccio* – 06.12.07

 

Articoli precedenti:
Data retention, la "Pisanu" dovrà fare i conti con l'Europa
Data retention: che cosa prevede la direttiva europea

In Italia si è conclusa il 31 ottobre di quest’anno la consultazione pubblica avviata dal Garante per la privacy sulle “regole per la messa in sicurezza dei dati di traffico telefonico e internet". Si tratta dell'attuazione dell'art. 132 del decreto legislativo 196/03, in attesa del  recepimento in Italia della direttiva europea sulla conservazione dei dati di traffico telefonico e telematico 2006/24/CE (spesso indicata come la direttiva sulla Data Retention - vedi Data retention: che cosa prevede la direttiva europea).
In attesa di conoscere gli esiti della consultazione italiana e di leggere il decreto legislativo di recepimento della direttiva, vediamo quanto in proposito hanno già iniziato a fare gli altri paesi europei. Tra questi si ritiene interessante commentare il recente caso inglese.

In Inghilterra la direttiva sulla conservazione dei dati di traffico è stata recepita ed è divenuta legge in vigore dal 1° ottobre 2007, solo due settimane di ritardo rispetto alla data stabilita nella direttiva stessa: 15 settembre 2007.
La Gran Bretagna è uno dei 16(!) Paesi membri che ha scelto di non recepire completamente la direttiva entro il 2007: quanto attiene alla conservazione dei dati di traffico e relative misure di sicurezza per accesso alla Internet, telefonia su Internet (VOIP) ed e-mail, saranno recepite più tardi, entro il 15 marzo 2009.
Prima di arrivare alla legge, anche nel Regno Unito è stata percorsa la strada della consultazione pubblica: vediamo come e con quali risultati.

L’Home Office ha pubblicato il testo preliminare del recepimento della direttiva, ed ha invitato chiunque a formulare commenti non in forma libera, ma rispondendo a poche domande poste sul testo, di carattere riassuntivo e tese a evidenziare eventuali aspetti non chiari del testo preliminare. Alla consultazione pubblica hanno aderito diciotto organizzazioni, tra le quali i principali operatori di telefonia pubblica operanti nel Paese e alcune tra le più rilevanti associazioni di Internet services provider.
Al termine della consultazione il governo inglese ha pubblicato a giugno un resoconto per esporre i risultati ottenuti ed indicare quali aspetti delle risposte avrebbero portato alla modifica del testo preliminare.

La grande maggioranza degli aderenti, l’85 per cento circa, ha concordato nel ritenere troppo complesse e ancora non sufficientemente mature le regole di conservazione dei dati da applicare al settore Internet: sono state evidenziate difficoltà di carattere tecnico ed operativo e mancanza di adeguate risorse per assicurare un periodo massimo di conservazione, come richiesto dalla direttiva UE.
Pertanto è stato accolto con grande soddisfazione lo slittamento all’anno 2009 del recepimento della direttiva per il traffico Internet.
Tra l’altro un numero significativo di aderenti alla consultazione ha richiesto di mantenere il rapporto di collaborazione tra governo ed industria fino al definitivo completamento del recepimento della direttiva, ed il governo ha dato ampia assicurazione su questo, mostrando una comprensibile attenzione alle difficoltà nell’implementare le misure relative ad Internet.

Tanta attenzione da parte del governo è anche dovuta all’approccio che in Gran Bretagna è stato deciso di seguire in relazione ai costi derivanti dalla attuazione delle misure richieste, in quanto lo Stato attuerà un regime di rimborsi, come vedermo più avanti in questo articolo, anche per evitare distorsioni sul mercato, tra le aziende più o meno coinvolte nelle attività e nelle spese richieste per la Data Retention.

Altro aspetto emerso dalla consultazione è stata la preoccupazione da parte dell’industria riguardo alla corretta individuazione degli effettivi destinatari della legge: il governo ha risposto affermando che avrebbe in proposito migliorato il testo ed ha comunque invitato le organizzazioni in dubbio, anche in futuro, a chiedere chiarimenti direttamente al Home Office, il quale risponderà a ciascuno di essi in modo formale se, questi, è destinatario o meno delle disposizioni sulla conservazione dei dati.
Qui di seguito è riportato un breve commento agli articoli della legge inglese (The Data Retention Regulation 2007) e, laddove più interessante, sarà fatto qualche riferimento al testo preliminare di legge sottoposto alla consultazione pubblica in Italia.

Ambito di applicazione
La legge si applica a tutti i fornitori di comunicazioni pubbliche (nel seguito indicati per brevità con il termine: operatori). La legge non si applica a quegli operatori che hanno ricevuto dal governo un notifica scritta che non li impegna a conservare quei dati che sono già conservati, in Gran Bretagna, da un altro operatore. Questo approccio è strettamente legato al fine di non duplicare inutilmente costi di conservazione (come già indicato, il governo partecipa ai costi della data retention)

Obblighi di conservazione
Devono essere conservati, per un periodo di 12 mesi, i dati di traffico che sono generati e/o trattati da un operatore nel processo di fornitura di servizi (telefonici) ad abbonati ed utenti, incluse le chiamate senza risposta, sempre che i dati riferiti a queste siano generati o trattati o memorizzati in Gran Bretagna dall’operatore. I dati da conservare sono quelli indicati dalla direttiva europea nel caso di traffico telefonico fisso e mobile (ribadendo, servizi Internet tutti esclusi).
Per quanto concerne le misure di sicurezza, il testo inglese non scende in dettaglio e ripropone i principi espressi nella direttiva stessa: solo per la distruzione dei dati, la legge chiarisce, come risultato della consultazione pubblica, che i dati sono immediatamente distrutti dopo i 12 mesi, a meno che l’operatore non li conservi per propri scopi legittimi.

Requisiti di memorizzazione per i dati conservati
È ribadito il principio della direttiva, che richiede che i dati siano memorizzati in modo tale che essi possano essere trasmessi senza ingiustificato ritardo in risposta alle richieste.

Autorità
L’autorità incaricata di supervisionare l’attuazione della legge è il Garante inglese per la privacy.

Statistiche
Entro il 31 Marzo di ogni anno gli operatori devono fornire al governo, riferiti ai 12mesi precedenti tale data, informazioni statistiche riguardo il numero di casi in cui i dati sono stati forniti alle autorità a fronte di una richiesta ed il numero di casi in cui l’operatore non ha potuto soddisfare tali richieste.

Rimborsi
Il governo rimborsa le spese sostenute dagli operatori per conformarsi a questa norma. Il rimborso al singolo operatore è condizionato a quanto preventivamente esposto e concordato con il governo in termini di costi stimati. Il governo può richiedere all’operatore di sottoporsi a verifiche che possano essere ragionevolmente necessarie per verificare ogni richiesta di rimborso invocata a fronte di questa norma.

Ferme restando tutte le diversità ben note tra l’impostazione di una legge in Italia ed una in Gran Bretagna, scorriamo insieme alcuni differenze, quelle che saltano subito in evidenza comparando questa legge con il testo preliminare italiano sottoposto alla consultazione pubblica. Analizzarle tutte va ben oltre lo scopo di un breve articolo ed in ogni caso si dovrebbero consultare due testi nel medesimo stato di validità: al contrario quello inglese è legge, mentre quello italiano è un testo preliminare, non definitivo. Ci si limita quindi a commentare il livello di misure di sicurezza e l’aspetto partecipazione ai costi.

Le misure di sicurezza inglesi non sono più dettagliate di quelle italiane. A tal proposito occorre però ricordare che in Gran Bretagna le aziende del settore hanno già avuto modo di aderire, su base volontaria, al codice di condotta relativo alla conservazione dei dati di traffico (parte della legge del 2001 su antiterrorismo, crimini e sicurezza). Le misure di sicurezza italiane sono puntualmente descritte nel testo preliminare e così come sono, possono produrre consistenti impatti sui budget degli operatori italiani.

La legge inglese interviene su i costi sostenuti dalle aziende con rimborsi, da erogarsi in base a stime iniziali concordate e riscontri con verifiche. Fonti autorevoli indicano in 6 milioni di sterline la cifra stanziata come budget dal governo inglese in relazione alle spese per la Data Retention. Sul fronte italiano non risultano, almeno dal testo preliminare, elementi su questo aspetto che, a ben ricordare, era stato accennato a suo tempo nel comma 4 articolo art. 6 ”Nuove norme sui dati del traffico telefonico e telematico”, della legge "Pisanu" (decreto-legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale, convertito con modifiche con la legge 31 luglio 2005, n. 155.

Occorrerà riflettere e molto sulle disomogeneità tra paesi nel recepimento della direttiva sulla data retention. Questo breve confronto con il caso inglese porta a considerare, tra gli innumerevoli altri aspetti da tenere presenti:
- il parziale o completo recepimento della direttiva;
- le misure di sicurezza richieste più o meno stringenti;
- le ripartizioni dei costi necessari per la conformità alla legge.

Le conseguenze riguardano tra l’altro: le possibili alterazioni nello stato di concorrenza tra le aziende diversamente impegnate a sostenere i costi e mantenere in esercizio quanto necessario per essere conformi alla norma; gli impatti sul fine ultimo di queste normative, ossia contrastare e perseguire azioni criminose condotte a livello transnazionale; infine le possibili migrazioni dei sistemi necessarie per attuare almeno alcune delle misure di sicurezza previste verso paesi con una normativa più favorevole, anche se recepita da una stessa, unica, direttiva europea.
 

* Ingegnere, esperto tecnico-legale ICT - glory @ glory.it

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2005 Informazioni sul copyright