Background

Lo scorso 20 novembre 2017, il Parlamento Italiano ha definitivamente approvato la Legge n. 167/2017, pubblicata nella Gazzetta ufficiale n. 277/2017 (in seguito “Legge Europea 2017” o la “Legge“) ed entrata in vigore il 12 dicembre 2017.

Tralasciando qualsivoglia commento circa l’opportunità della scelta del legislatore italiano di modificare il Codice per la protezione dei dati personali italiano (“Codice Privacy“) a meno di sei mesi dall’entrata in vigore del Regolamento UE 2016/679, la Legge:

  • ha elevato il periodo di conservazione dei dati di traffico telefonico, telematico e dei dati relativi alle chiamate senza risposta (“dati di traffico“) a sei anni per finalità di contrasto al terrorismo e di repressione di gravi reati (articolo 24 della Legge);
  • ha introdotto una nuova previsione che specifica i requisiti obbligatori dell’accordo tra il titolare e il responsabile del trattamento;
  • ha dedicato una nuova disposizione al riutilizzo dei dati personali per finalità di ricerca scientifica.

Questioni principali

L’articolo 24 della Legge introduce una deroga alla disciplina ordinaria prevista dall’art. 132 del Codice Privacy, che prevede un periodo di conservazione di ventiquattro mesi per i dati di traffico telefonico, dodici mesi per i dati di traffico telematico e trenta giorni per i dati relativi alle chiamate senza risposta. Di fatto, nella nuova disciplina scompare la distinzione tra le suddette tipologie di dati di traffico ed il loro periodo di conservazione viene innalzato indistintamente a sei anni.

Al fine di trasporre la Direttiva (UE) 2017/541 del Parlamento Europeo e del Consiglio del 15 marzo 2017 sulla lotta contro il terrorismo, che non si riferisce mai esplicitamente ai dati di traffico, il compito del legislatore italiano era quello di prevedere adeguate misure al riguardo nell’ordinamento interno. Le nuove previsioni introdotte dalla Legge Europea 2017 tuttavia rischiano di essere incompatibili con la legislazione europea, in particolare con il Regolamento Generale UE sulla Protezione dei Dati Personali 2016/679 (“RGPD”), nonché con la giurisprudenza europea. Quest’ultima in particolare si è dimostrata molto sensibile al rispetto della vita privata ed alla protezione dei dati personali, avendo stabilito in diverse occasioni che gli Stati membri debbano evitare di adottare misure che possano considerarsi non limitate a quanto strettamente necessario. Tale cautela è peraltro testimoniata dalle valutazioni della Corte di Giustizia dell’Unione Europea (“CGUE”) nel caso “Watson” e nel caso Digital Rights Ireland e altri del 2014, cui è seguita la dichiarazione di invalidità della Direttiva 2006/24/CE (“Direttiva Data Retention“).

Inoltre, è importante sottolineare i chiarimenti offerti dall’articolo 28 della Legge in merito ai requisiti obbligatori dell’accordo che deve essere necessariamente stipulato tra il titolare e il responsabile del trattamento, e che dovrà descrivere gli obblighi e i diritti del responsabile, le finalità del trattamento, il tipo di dati personali trattati e le modalità con cui avviene il trattamento. La previsione tuttavia viene in rilievo come un discutibile tentativo del legislatore italiano di armonizzare l’articolo 29 del Codice Privacy con l’articolo 28 del RGPD, che regola il ruolo del responsabile esterno del trattamento. È infatti quasi inevitabile non considerare la modifica di dubbio utilità, se si considera che meno di un mese fa il legislatore italiano ha conferito, tramite la Legge n. 163/2017 (si veda l’articolo 13), una delega al governo per adeguare la disciplina nazionale alle previsioni contenute nel RGPD, e dunque è verosimile pensare che la norma in questione sarà oggetto di ulteriori cambiamenti.

Infine, la Legge introduce anche una nuova disposizione relativa al riutilizzo dei dati personali per finalità di ricerca scientifica, che dovrà essere subordinato all’autorizzazione del Garante italiano per la protezione dei dati personali a condizione che i dati vengano non solo minimizzati ma anche anonimizzati. Anche tale previsione appare discutibile se si considera che la disciplina italiana ed europea in materia di protezione dei dati personali non si applica ai dati anonimizzati.

Implicazioni pratiche

Le società ed i provider dovranno dunque:

  • aggiornare, ove necessario, le loro policy e procedure interne per quanto riguarda la conservazione dei dati di traffico;
  • tenere in considerazione l’incremento dei costi di gestione dei servizi di storage e delle relative misure di sicurezza derivanti dal prolungamento del periodo di conservazione dei dati di traffico;
  • compiere rilevanti sforzi per allinearsi rapidamente alle nuove previsioni, sforzi che potrebbero tuttavia rivelarsi inutili nel lungo periodo laddove la Legge fosse sottoposta al vaglio dalla CGUE e dichiarata invalida;
  • verificare la conformità dei loro attuali accordi per il trattamento dei dati personali con i nuovi requisiti obbligatori introdotti dalla Legge e modificare la documentazione, ove necessario;
  • minimizzare a anonimizzare i dati personali, nonché richiedere l’autorizzazione del Garante italiano per la protezione dei dati personali, nel caso in cui vogliano utilizzare tali dati per finalità di ricerca scientifica.