Come noto l’acquisizione dei dati di traffico delle comunicazioni elettroniche in generale e di Internet in particolare - per finalità di accertamento e repressione dei reati - costituisce problema di grande rilievo per gli inquirenti e gli investigatori, in primo luogo della Polizia Postale e delle Comunicazioni.
Il quadro regolamentare attualmente delineato dalle recenti modifiche apportate dal D.L.354/03 - convertito con modificazioni dalla L. 45/2004 - all’art.132 del Codice in materia di protezione dei dati personali (D.Lgs. 196/03) non è particolarmente felice dal punto di vista investigativo sia per quanto riguarda la durata di conservazione dei dati che per le modalità, particolarmente gravose, di acquisizione di essi.
L’obbligo di conservazione dei dati è soggetto ad un regime differenziato a seconda che si tratti di dati inerenti il solo traffico telefonico oppure il traffico di tutti gli altri mezzi di comunicazione elettronica (Internet, posta elettronica ecc.).
Consideriamo, innanzitutto, la disciplina inerente la conservazione e l’acquisizione dei dati di traffico telefonico.
L’art.132 del D.Lgs. 196/03 prevedeva nel testo originario del D.L. un’obbligo di conservazione dei dati di traffico telefonico per 30 mesi, anziché per i previgenti 5 anni ricavabili dall’abrogato art.4, comma 2 D.Lgs. 171/98.
L’ambito di applicazione di conservazione dei dati è stato, inizialmente, ampliato dal D.L. 354/03 che estendeva l’obbligo di conservazione alle comunicazioni elettroniche in generale, quindi, anche al traffico Internet e alla posta elettronica.
Così pure è stata, inizialmente, ampliata la durata di conservazione per un periodo di 30 mesi più ulteriori 30 mesi. L’acquisizione dei dati presso il fornitore avveniva nel primo termine a seguito di decreto motivato del PM nelle indagini preliminari o del giudice, anche d’ufficio; nel secondo termine, esclusivamente a seguito di decreto motivato del giudice su istanza del PM, sussistendo indizi dei gravi delitti di cui all’art.407, comma 2 lett.a) c.p.p.
In sede di conversione del D.L. 354/03, la L. 45/2004 di conversione ha consapevolmente ristretto, rispetto al testo originario del D.L., sia l’ambito di applicazione di conservazione dei dati al solo traffico telefonico, che la durata di conservazione stabilita in 24 mesi più ulteriori 24 mesi per finalità di accertamento e repressione dei reati.
L’acquisizione dei dati presso il fornitore avviene ora – con procedura aggravata - anche nel primo termine di 24 mesi a seguito esclusivamente di decreto motivato del giudice su istanza del PM.
Decorso il primo termine di 24 mesi i dati relativi al traffico telefonico sono conservati dal fornitore per ulteriori 24 mesi per esclusive finalità di accertamento e repressione dei gravi delitti di cui all’art.407, comma 2, lett. a) del c.p.p. (per.es. strage, terrorismo, associazione per delinquere, omicidio, sfruttamento della pronografia minorile ecc.) nonché dei delitti in danno di sistemi informatici o telematici (art.132, comma 2).
L’art.132 D.Lgs.196/03 introduce – opportunamente – una procedura di acquisizione dei dati di traffico telefonico che avrebbe potuto espressamente estendere anche ai dati di traffico delle altre comunicazioni elettroniche sebbene si possa pervenire a tale risultato per via interpretativa.
Entro il primo termine di 24 mesi i dati sono acquisiti presso il fornitore con decreto motivato del giudice su istanza del pubblico ministero o del difensore dell’imputato o della persona sottoposta alle indagini della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta ad indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’art.391-quater del c.p.p., ferme restando le condizioni di cui all’art.8, comma 2, lett. f) per il traffico entrante (art.132, comma 3).
Scaduto il primo termine di 24 mesi il giudice autorizza l’acquisizione dei dati, con decreto motivato se ritiene che sussistano sufficienti indizi dei delitti di cui all’art.407, comma 2, lett.a) del c.p.p. nonché dei delitti in danno di sistemi informatici o telematici (art.132, comma 4).
Il trattamento per le predette finalità di accertamento e repressione dei reati è effettuato nel rispetto delle misure e accorgimenti a garanzia dell’interessato prescritti ai sensi dell’art. 17 D.Lgs. 196/03 per i dati caratterizzati da rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato (art.132, comma 5) e precisamente: prevedere sistemi specifici di autenticazione informatica e di autorizzazione degli incaricati del trattamento di cui all’All. B); diciplinare le modalità di conservazione separata dei dati una volta decorso il primo termine di 24 mesi;individuare le modalità di trattamento dei dati da parte di specifici incaricati del trattamento in modo tale che, decorso il termine di cui al comma 1 dell’art. 132 D.Lgs. 196/03, l’utilizzazione dei dati sia consentita solo nei casi di cui al comma 4 dell’art. 132 e dell’art.7 (diritto di accesso dell’interessato) del D.Lgs. 196/03; indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di 24 mesi e della proroga autorizzata dal giudice di ulteriori 24 mesi.
Fino alla data in cui diverranno efficaci le misure e gli accorgimenti prescritti dal Garante per la protezione dei dati personali - ai sensi dell’art.132 comma 5 e 17, comma 2 del D.Lgs.196/03 - per la conservazione del traffico telefonico si osserva il termine di cui all’art.4, comma 2 del D.Lgs.171/98 (termine di 5 anni ex art.2948, n.4 c.c. trattandosi di prestazioni periodiche di servizi telefonici).
Il periodo transitorio di obbligo di conservazione dei dati per 5 anni è di durata indeterminata dipendendo dall’adozione del Garante – priva di termine – delle misure e degli accorgimenti di cui all’art.132, comma 5 D.Lgs.196/03.
Consideriamo, in secondo luogo, la disciplina inerente la conservazione e acquisizione dei dati di traffico di tutti gli altri mezzi di comunicazione elettronica, Internet e posta elettronica inclusi.
Alle “altre” comunicazioni elettroniche si applica - in via interpretativa - l’art.123 c.c. del D.Lgs. 196/03: ne deriva per l’effetto un’obbligo di conservazione ordinario dei dati relativi al traffico di soli 6 mesi – salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione in anche in sede giudiziale - termine assolutamente inidoneo a soddisfare le esigenze investigative.
Nulla è detto, come si è già, rilevato circa la procedura di acquisizione che dovrebbe essere – in via interpretativa – quella disciplinata dall’art.132 D.Lgs.196/03.
In conclusione, si possono formulare alcune misure correttive dell’attuale quadro regolatorio, al fine di meglio bilanciare le contrapposte esigenze di privacy e controllo che, attualmente, vede soccombere queste ultime.
Sarebbe, innanzitutto, auspicabile che l’obbligo di conservazione dei dati – con particolare riferimento al traffico Internet e di posta elettronica, ferma restando l’esclusione dei relativi contenuti che possono, invece, essere oggetto di intercettazione – fosse riconsiderato in senso estensivo dell’attuale inadeguata durata di soli 6 mesi.
In secondo luogo, sarebbe opportuno il ritorno alle modalità previgenti di acquisizione dei dati di traffico mediante semplice decreto del PM, maggiormente idoneo ad assicurare tempestività di azione: applicare all’acquisizione di tabulati le stesse garanzie procedurali previste per l’intercettazione dei contenuti pare francamente eccessivo.
Infien, onde prevenire abusi ed evitare equivoci interpretativi, sarebbe opportuno introdurre anche una normativa di dettaglio sulla tipologia dei dati di traffico delle comunicazioni elettroniche - si pensi, in particolare, a Internet e alla posta elettronica - che potranno essere conservati per finalità di accertamento e repressioni di reati.
Prof. Avv. Emilio Tosi
Professore Aggregato di Diritto Privato e Diritto delle Nuove Tecnologie
Università di Milano Bicocca
Managing Partner
TOSI & PARTNERS HIGH TECH LEGAL
© 2004 TOSI & PARTNERS HIGH TECH LEGAL