Background

Nello scorso luglio avevamo anticipato che in Italia si stava discutendo una proposta di legge che avrebbe imposto la conservazione dei dati di traffico per un periodo di 6 anni.

Il 5 ottobre 2017, il Senato ha iniziato la discussione della Legge Europea 2017, che ogni anno contiene le norme di diretta attuazione degli obblighi derivanti dall’appartenenza dell’Italia all’Unione Europea (es. Direttive UE). Il disegno di legge è stato già approvato dalla Camera lo scorso 19 luglio ed è attualmente all’esame del Senato per la sua definitiva approvazione.

Tra le altre, il disegno di legge Europea 2017 contiene due rilevanti modifiche alla vigente disciplina: una riguarda il mutamento delle previsioni in tema di conservazione dei dati di traffico; l’altra introduce invece un sistema di monitoraggio online che non richiede il previo intervento dell’autorità giudiziaria.

Nel primo caso una norma attuativa prevede infatti l’aumento a sei anni del periodo di conservazione dei dati di traffico telefonico, telematico e relativo alle chiamate senza risposta (“dati di traffico”) al fine di contrastare il terrorismo e altre gravi forme di criminalità.

Peraltro, il progetto di legge introduce nuovi poteri in capo all’Autorità Garante per le Comunicazioni (AGCOM) che consentiranno di adottare misure cautelari volte a prevenire l’accesso a contenuti web illeciti o sospetti presenti su siti, blog e forum.

Contesto giuridico e questioni principali

Secondo gli operatori del settore, la norma attuativa in tema di conservazione dei dati di traffico avrebbe meritato un’attenzione maggiore da parte del Parlamento Italiano. Essa è stata infatti discussa nel corso di una sessione riguardante la sicurezza all’interno degli ascensori ed inserita nella Legge Europea 2017 senza neppure coinvolgere l’Autorità Garante per la Protezione dei Dati Personali (“Garante”), il cui Presidente – a seguito della pubblicazione del disegno di legge – ha espresso preoccupazione per le possibili implicazioni nei confronti dei diritti dei cittadini e l’impatto verso le imprese.

Gli attuali limiti previsti dall’art. 132 del Codice Privacy (d.lgs. 196/2003) prevedono un periodo di conservazione di 24 mesi per i dati di traffico telefonico, 12 mesi per i dati di traffico telematico e 30 giorni per i dati relativi alle chiamate senza risposta.

Il Decreto Legge n. 7 del 18 febbraio 2015, come ulteriormente modificato dall’art. 4-quater del Decreto Legge n. 210/2015, aveva previsto una deroga alla disciplina ordinaria e imposto la conservazione di tutti i dati di traffico generati a partire dall’entrata in vigore del Decreto fino al 30 Giugno 2017.

La nuova previsione non fa distinzione tra dati di traffico telefonico, telematico e dati relativi alle chiamate senza risposta ed estende il loro periodo di conservazione a 6 anni derogando ancora una volta all’art. 132 del Codice Privacy.

In pratica tuttavia i provider di servizi web non sono in grado conoscere in anticipo quali dati di traffico potrebbero essere coinvolti in attività investigative relative a terrorismo o altre gravi forme di criminalità e, pertanto, saranno tenuti a conservare “a tappeto” tutti i dati di traffico.

Un periodo di conservazione di 6 anni per i dati di traffico potrebbe essere considerato incompatibile con il principio di proporzionalità così come stabilito dalla normativa e dalla giurisprudenza europea.

Nel caso Digital Rights Ireland and Seitlinger e Altri del 2014, la Corte di Giustizia dell’Unione Europea (“Corte EDU”) aveva dichiarato invalida la Direttiva 2006/24/CE, perché essa comportava un’interferenza seria e generalizzata con diritti fondamentali quali il rispetto della vita privata e la protezione dei dati personali, senza che una tale interferenza fosse limitata a quanto strettamente necessario alle finalità di accertamento e repressione dei reati necessarie.

Il principio di “necessità” è stato inoltre affrontato nel caso Watson, ove la Corte EDU ha stabilito “non osta a che uno Stato membro adotti una normativa la quale consenta, a titolo preventivo, la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione, per finalità di lotta contro la criminalità grave, a condizione che la conservazione dei dati sia, per quanto riguarda le categorie di dati da conservare, i mezzi di comunicazione interessati, le persone riguardate, nonché la durata di conservazione prevista, limitata allo stretto necessario […] Per soddisfare tali requisiti, la suddetta normativa nazionale deve, in primo luogo, prevedere norme chiare e precise che disciplinino la portata e l’applicazione di una siffatta misura di conservazione dei dati e fissino un minimo di requisiti, di modo che le persone i cui dati sono stati conservati dispongano di garanzie sufficienti tali da permettere di proteggere efficacemente i loro dati personali contro i rischi di abuso. Essa deve in particolare indicare in quali circostanze e a quali condizioni una misura di conservazione dei dati può, a titolo preventivo, essere adottata, garantendo così che una misura siffatta sia limitata allo stretto necessario

In aggiunta, il progetto di legge assegna all’AGCOM il rilevante potere di adottare misure cautelari per proteggere il diritto d’autore su siti web, blog e forum, ordinando la rimozione dei contenuti illeciti e avendo a disposizione tecniche di ispezione approfondite di tutto il traffico internet. Tutto ciò senza l’intervento di alcun giudice.

Tale direzione sembra essere peraltro avallata anche dalla giurisprudenza amministrativa. In una recente sentenza (T.A.R. Lazio n. 4101/2017), il Tribunale Amministrativo Regionale del Lazio ha confermato il potere dell’AGCOM ed ha chiarito che il potere dell’autorità amministrativa si affianca a quello dell’autorità giudiziaria, ma non si sostituisce ad esso.

Implicazioni pratiche

La Legge Europea 2017 è ancora in discussione al Senato. Non appena essa entrerà in vigore, le conseguenze per i fornitori di comunicazioni potrebbero risultare molto onerose. In particolare, i fornitori dovranno prendere in considerazione:

1) l’aggiornamento delle proprie informative e procedure sulla conservazione dei dati di traffico;

2) l’aumento dei costi per la conservazione a lungo termine di tali dati e le correlate misure di sicurezza da porre in essere;

3) gli sforzi di allineamento alla nuova disciplina, che dovranno avvenire rapidamente e potrebbero tuttavia risultare finanche inutili nel lungo periodo nel caso in cui la legge finisse dinanzi alla Corte EDU e fosse dichiarata invalida.

Continueremo a osservare l’evoluzione del progetto di legge.