Manlio Cammarata - Il colonnello Rey, suppongo - Tabulas

Protezione dei dati personali

Convention on cybercrime: novità per la conservazione dei dati

di Gloria Marcoccio* – 10.04.08

 

Modifiche di rilievo per le misure di sicurezza e i tempi di conservazione dei dati del traffico telematico per determinate finalità di investigazioni preventive. Queste sono alcune conseguenze della legge 18 marzo 2008, n. 48 Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno.

Le modifiche riguardano l’articolo 132 del "codice in materia di protezione dati personali", nel quale sono introdotti i commi 4-ter, 4-quater e 4-quinquies.
Queste modifiche arrivano dopo il provvedimento del Garante Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati, del 17 gennaio 2008, con il quale sono state precisate le prescrizioni, ai sensi dell’art. 17 del codice, di quanto definito al comma 5 dell’art. 132. Le modifiche sono anche in anticipo sull’atteso recepimento in Italia della direttiva europea 2006/24/CE sulla conservazione dei dati di traffico telefonico e telematico (vedi Dati del traffico: le nuove "misure" del Garante).

L’interesse per tali modifiche deriva dalle novità introdotte con le nuove norme, che devono essere lette con attenzione e inquadrate nel contesto dell’art. 132, ben sapendo che il recepimento della direttiva europea sulla data retention potrà aggiungere ulteriori variazioni all’assetto delle norme che riguardano la “conservazione di dati di traffico per altre finalità”.
Tutto questo comporta, per i fornitori e gli operatori di servizi informatici e telematici, diversi impegni di natura organizzativa, procedurale e tecnica, che devono inserirsi nel quadro preesistente.
Il testo dei commi 4-ter e 4-quater, di diretto interesse per i fornitori e gli operatori di servizi informatici e telematici, può essere riletto secondo uno schema di riferimento che supporti la rappresentazione della norma in termini di motivazioni, attori, azioni richieste, oggetto delle azioni, opzioni di varia natura, ulteriori compiti e responsabilità.

Motivazioni: ai fini dello svolgimento delle investigazioni preventive previste dall’articolo 226 delle norme di cui al decreto legislativo n. 271/89, ovvero per finalità di accertamento e repressione di specifici reati.

Richiedente: Il Ministro dell’interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dei Carabinieri e della Guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271.

Ricevente: il fornitore o l’operatore di servizi informatici o telematici

Azione del richiedente verso il ricevente: quella che il richiedente può ordinare, con apposito provvedimento, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere

Conseguente azione del ricevente: conservare e proteggere, secondo le modalità indicate, e per un periodo non superiore ai 90 giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni.

Opzioni di natura temporale: il provvedimento è prorogabile per motivate esigenze per una durata complessiva non superiore a sei mesi.

Opzioni sulla custodia e sulla disponibilità dei dati: il provvedimento può prevedere particolari modalità di custodia dei dati e l’eventuale indisponibilità dei dati stessi da parte del ricevente ovvero di terzi.

Ulteriori compiti e responsabilità del ricevente, oltre a quelli indicati in conseguenza dell'azione del richiedente: deve ottemperarvi senza ritardo, fornendo immediatamente all’autorità richiedente l’assicurazione dell’adempimento. Il fornitore o l’operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all’ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità. In caso di violazione dell’obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell’articolo 326 del codice penale.

Dalla lettura di queste norme emergono alcuni punti che meritano attenzione.

1. Gli aspetti temporali
I tempi di conservazione variano da i 90 giorni fino ad un massimo di 6 mesi, in caso di successive proroghe del provvedimento con il quale è ordinata la conservazione. Lo schema che segue, che abbiamo già visto in un precedente articolo, riporta il quadro completo, ad oggi noto, dei periodi di conservazione dei dati di traffico telefonico e telematico per i fini indicati negli articoli 123 e 132 del codice.

A: a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, è consentito al fornitore, per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale (art. 123, comma 2 DLGV 196/03).

B: per finalità di accertamento e repressione dei reati (art 132, comma 1 DLGV 196/03).

C:
per esclusive finalità di accertamento e repressione dei delitti di cui all'art. 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici (art. 132, comma 2 DLGV 196/03).

D: debbono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I dati del traffico conservati oltre i limiti previsti dall'art. 132 del decreto legislativo 30 giugno 2003, n. 196, possono essere utilizzati esclusivamente per le finalità del decreto-legge, salvo l'esercizio dell'azione penale per i reati comunque perseguibili (Art. 6. Nuove norme sui dati del traffico telefonico e telematico legge 31 luglio 2005 n. 155 (Pisanu), comma 1come modificato dal decreto "mille proroghe" n. 248 del 31.12.2007).

E: ai fini dello svolgimento delle investigazioni preventive previste dall’articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati ( in conseguenza della ratifica italiana della convenzione sul Cyber Crime)

2. L’identificazione del traffico telematico
Ad oggi nella normativa italiana non esiste una definizione di traffico telematico né una sua identificazione oggettiva in termini di dati che lo compongono. Probabilmente il recepimento in Italia della direttiva sulla conservazione dei dati fornirà la giusta occasione per colmare questa lacuna. Da notare che l'espressione “dati relativi al traffico telematico” sembra comunque ampliare in modo indefinito il contesto effettivo dei dati in questione. Il problema non è puramente teorico. Infatti si deve capire quale siano questi dati, sia per gli operatori che devono approntare il necessario apparato tecnico-procedurale per “conservare e proteggere”, sia per noi stessi, nei nostri molteplici ruoli di interessati/utenti/abbonati. Dobbiamo infatti essere messi in condizione di capire le norme che ci riguardano, specialmente quando si riferiscono ad aspetti che non sono assolutamente sotto nostro controllo, e per le fattispecie delle comunicazioni, informatiche e telematiche,.

3. I destinatari
Il titolo X del codice, nel quale l’articolo 132 è inserito, riguarda il trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni (art 121). Dunque si tratta di fornitori che offrono servizi al pubblico e non quelli che offrono servizi ad un ristretto (in quanto identificato) gruppo di utenti.
Anche con il provvedimento del Garante del 17 gennaio 2008 quest’ultimi sono stati esplicitamente esclusi dal novero dei destinatari. Si rammenta che tra essi rientrano le grandi aziende che per proprie esigenze dispongono di servizi telematici interni, oppure i soggetti che forniscono servizi telematici/informatici a grandi aziende (ad esempio servizi di hosting, di accesso ad Internet, di posta elettronica ecc.). Questi non sono intesi come servizi offerti “al pubblico”.
Occorre però notare che quanto introdotto all’art 132 dalla ratifica italiana della convenzione sul crimine informatico si riferisce chiaramente a “il fornitore o l’operatore di servizi informatici o telematici”.
Il termine “fornitore” risulta già utilizzato nell’art 132, mentre invece così non è per “l’operatore di servizi informatici o telematici”.
Considerando anche che la convenzione non limita il suo campo di intervento agli operatori che offrono servizi “pubblici”, sarebbe opportuna una precisazione sull’argomento, così come il Garante ha fatto nel citato provvedimento del 17 gennaio 2008, a proposito dei destinatari del provvedimento stesso.

4. Le finalità e le misure di conservazione e protezione
Per le finalità di cui al comma 2 dell’ art. 132 (esclusive finalità di accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici), il citato provvedimento del Garante prescrive una serie importante di misure ed accorgimenti di varia natura (tecnica, organizzativa ecc.), che devono essere posti in essere entro il 31 ottobre di quest’anno.
Ora, in conseguenza della ratifica della convenzione, possono essere richieste misure potenzialmente anche diverse da quelle prescritte dal Garante, di volta in volta con il singolo provvedimento dell’autorità che richiede “la conservazione di dati relativi al traffico telefonico ai fini dello svolgimento delle investigazioni preventive previste dall’articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati” delle. Questo aspetto comporta, per il fornitore/ operatore di servizi informatici o telematici, uno sforzo ulteriore per attuare, in modo coordinato, misure diverse sulla medesima tipologia di dati.
E’ possibile fare alcuni esempi, prendendo come sempre il base provvedimento del Garante del 17 gennaio scorso, che ad oggi è il più recente e più dettagliato riferimento in tema di misure ed accorgimenti per i dati di traffico telefonico e telematico. Si deve forse prospettare per gli incaricati una designazione ad hoc per questa nuova finalità connessa al crimine informatico e un profilo per l’accesso ai dati diverso da quello per art 132, comma 2? I dati potrebbero essere cifrati come già è indicato, nei casi di cui al comma 2 dell’art. 132 del codice, nel provvedimento del 17 gennaio 2008.
Inoltre le due finalità, quelle di cui al comma 2 e al nuovo comma 4-ter dell’art 132, potrebbero non sempre essere totalmente disgiunte e perfettamente separate. Pertanto, nei casi di sovrapposizione, le misure da attuare per la conservazione dei dati dovrebbero essere le medesime.
Inoltre, in merito alla eventuale indisponibilità dei dati in quanto vincolati dalle finalità di cui al comma 4-ter, il fornitore/operatore di servizi informatici o telematici dovrà trovare una regola robusta da seguire ed un corretto profilo delle proprie responsabilità nei casi in cui, a causa della indisponibilità del dato, non sia possibile soddisfare altre richieste provenienti da altre autorità, magari per le finalità di cui al comma 2 dell’art. 132, e per non dover subire impatti negativi nei propri processi legati al business (ad esempio il billing). L’indisponibilità dei dati dovrà poi essere circoscritta tenendo presente che essi possono essere duplicati per motivi di sicurezza, oppure in ossequio ad altre norme, e che possono essere richiesti dagli interessati in virtù dell’esercizio dei diritti di cui all’art. 7 del codice.

5. Obbligo di segretezza
L’obbligo è ora direttamente richiamato e sanzionato (art. 326 del codice penale). Sembra evidente una disparità con il caso di traffico telefonico.

6. Fornitura dei dati all’autorità richiedente
I nuovi commi dell’art 132 non riportano nulla di specifico sulla modalità di fornitura dei dati all’autorità richiedente. Il criterio con il quale i dati possono essere richiesti potrebbe essere differente da quello che siamo subito portati ad immaginare: dati riferiti ad un signor X. L’insieme dei dati raggruppabili sotto il termine “relativo al traffico telematico”, è tale da poter attivare criteri di ricerca assolutamente diversi e funzionali al tipo di investigazione che deve essere svolta, anche dietro richiesta di autorità non italiana.
Il problema non è affatto banale. La convenzione sul crimine informatico è basata sulla cooperazione internazionale tra le autorità compenti e dunque l’apertura a diversi criteri di ricerca, seppur standardizzati, è necessaria per un efficace scambio e una cooperazione effettiva.
L'ETSI (European Telecommunications Standards Institute, l'istituto per gli standard ICT dell'Unione europea) ha già emanato e continua ad aggiornare le specifiche tecniche anche per questo settore. Però esse devono essere recepite nei singoli ambiti nazionali, quindi i chiarimenti sono indispensabili.

Nota: Gloria Marcoccio sarà relatrice nel seminario InterLex Organizzazione, privacy, sicurezza: applicare le nuove norme del 28 maggio prossimo.
 

* Ingegnere, esperto tecnico-legale ICT - glory @ glory.it

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2008 Informazioni sul copyright