Conservazione dei dati di traffico e indagini di polizia: Ue in ordine sparso
Il Gruppo che riunisce le Autorità europee di protezione dati (Gruppo Articolo 29) ha di recente adottato il rapporto sullo stato di attuazione della direttiva 2006/24 (la cosiddetta “Direttiva Frattini”) che riguarda la conservazione dei dati di traffico telefonico e telematico per finalità di polizia e giudiziarie (wp172_en.pdf).
Dal rapporto emerge un quadro complessivamente disarmonico, sia sul recepimento della direttiva da parte degli Stati membri, sia sulle specifiche disposizioni nazionali, che in alcuni casi risultano contrarie ai principi della direttiva stessa o gravemente manchevoli con particolare riguardo alle misure di sicurezza adottate.
La direttiva 2006/24 introduce, come noto, disposizioni che derogano a quelle della direttiva sulla privacy nelle comunicazioni elettroniche (direttiva 2002/58) in materia di dati di traffico telefonico e telematico, consentendo di conservare tali dati oltre il periodo eventualmente necessario “ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione” quando ciò sia indispensabile per l’accertamento e la prevenzione di reati.
L’analisi del Gruppo Articolo 29, coordinata dall’Autorità italiana, ha preso le mosse da un questionario congiunto che è stato inviato dalle Autorità di protezione dati dei Paesi membri ai principali provider nazionali. I risultati mostrano che il periodo di conservazione nei diversi Paesi dell’Unione varia fra 6 mesi e 10 anni a seconda delle legislazioni nazionali; le categorie di dati conservati eccedono spesso quelle indicate nella direttiva, soprattutto per quanto riguarda i dati di traffico telematico che in taluni casi comprendono anche dati relativi ai contenuti delle comunicazioni (cosa espressamente vietata dalla direttiva stessa): ad esempio, alcuni provider conservano gli Url (indirizzi) delle pagine web visitate e le intestazioni (header) dei messaggi di posta elettronica. Le misure di sicurezza adottate, inoltre, non sempre sono idonee e, soprattutto per i provider di minori dimensioni, mostrano numerose lacune.
Alla luce delle risultanze dell’analisi, i Garanti hanno dunque elaborato una serie di raccomandazioni. Per quanto riguarda il periodo di conservazione, si chiede alla Commissione di fissare un periodo unico e preferibilmente più breve, anche considerando che in molti Paesi il termine massimo di conservazione risulta inferiore al limite previsto dalla direttiva (24 mesi), che appare quindi inutilmente ampio. Rispetto alle categorie di dati conservati, ai legislatori nazionali si ricorda di non imporre obblighi ulteriori rispetto a quanto previsto dalla direttiva. Riguardo alle misure di sicurezza, il Gruppo raccomanda ai provider di adottare alcuni ulteriori accorgimenti (sistemi di “strong authentication”, registro dettagliato dei log di accesso, ecc.) e propone uno schema pan-europeo per la consegna dei dati da parte dei provider alle autorità di polizia e giudiziarie così da facilitare e armonizzare gli interscambi ed anche le analisi statistiche (quanti accessi, quali dati, richiesti da quali autorità, ecc.). Va ricordato, infine, che sullo stato di attuazione della direttiva 2006/24 è atteso anche il rapporto della Commissione europea.