Garante per i dati personali - 3/11/2005 - n. 1189488 Articolo unicoPREMESSO: Alcune segnalazioni pervenute a questa Autorità evidenziano questioni applicative riguardo ai limiti entro i quali i fornitori dei servizi di comunicazione elettronica accessibili al pubblico possono rispondere positivamente ad una richiesta di accesso a dati personali relativi a comunicazioni telefoniche in entrata (art. 8, comma 2, lett. f) del Codice). Il Garante rileva la necessità di richiamare in proposito l´attenzione dei predetti fornitori e di impartire loro alcune prescrizioni tenendo conto della particolare delicatezza delle questioni esaminate. 1. Dati personali e cautele in caso di esercizio dei diritti I dati relativi al traffico telefonico in entrata sono dati di carattere personale. Si tratta di informazioni che pongono delicate implicazioni per gli interessati cui si riferiscono. I dati personali relativi alle comunicazioni telefoniche in entrata possono, infatti, inerire non solo agli abbonati (o ai titolari di schede prepagate: cfr. art. 4, comma 2, lett. f), del Codice), ma anche ad altri soggetti (persone fisiche chiamanti o chiamate diverse dall´abbonato, quali ad esempio familiari, amici, membri di una comunità , dipendenti). La delicatezza delle predette implicazioni ha riflessi anche sull´esercizio dei diritti da parte degli interessati. Tale esercizio è infatti soggetto a particolari cautele, simmetriche ad altre garanzie previste per legge con riguardo alla diversa problematica delle chiamate di disturbo (art. 127). Di regola, non è consentito rivolgersi al fornitore di un servizio di comunicazione elettronica per presentare ad esso, con riferimento ai dati telefonici, una delle varie istanze ai sensi dell´art. 7. In particolare, non è consentito ai dati identificativi di comunicazioni telefoniche in entrata. In via di eccezione, tuttavia, le richieste di esercizio dei diritti possono essere presentate, ed evase positivamente, quando comprovano che la risposta ad esse da parte del fornitore è necessaria per evitare "un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397" (art. 8, comma 2, lett. f)). L´esistenza di questo presupposto è necessaria per l´esercizio di uno qualunque dei diritti e per qualunque dato relativo al traffico telefonico in entrata (intendendosi per dato relativo al traffico telefonico "qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione": art. 4, comma 2, lett. h)). Nel presente provvedimento viene peraltro presa in considerazione più specificamente la condotta che il fornitore deve seguire correttamente in caso di richiesta di accesso. 2. Garanzie rispetto al diritto di accesso Il diritto di accesso a dati personali relativi a comunicazioni telefoniche in entrata non è di regola previsto ed è esercitabile soltanto in relazione a particolari esigenze probatorie nel contesto penale. Poiché si configura come un´eccezione alla regola generale secondo cui l´accesso non è consentito, la disposizione in esame (art. 8, comma 2, lett. f)) deve essere applicata sulla base di una stretta interpretazione. La richiesta al fornitore è quindi legittima solo se è corredata da una motivazione che indichi l´intenzione di utilizzare i dati esclusivamente nell´ambito del procedimento penale (è, ad esempio, esclusa per una controversia civile o attinente alla volontaria giurisdizione). Il richiedente deve altresì comprovare la necessità dell´accesso, documentando con idonei elementi al fornitore che il mancato accesso determinerebbe un pregiudizio effettivo e concreto allo svolgimento delle investigazioni difensive (l. 7 dicembre 2000, n. 397). Il pregiudizio che il richiedente deve documentare deve essere non semplicemente ipotetico o potenziale, ma reale e specifico. Il fornitore non può fornire positivo riscontro ad una richiesta dalla quale si desuma solo che la conoscenza dei dati di traffico telefonico in entrata -che talvolta sono già acquisiti dall´autorità giudiziaria nel procedimento penale- potrebbe essere semplicemente utile o funzionale al diritto di difesa. Il fornitore deve munirsi anche di una dichiarazione sottoscritta personalmente dall´interessato richiedente (e/o dal difensore cui sia stato conferito il mandato per le indagini difensive), nella quale il dichiarante attesti, sotto la propria responsabilità , la veridicità di quanto prospettato e manifesti l´impegno a non utilizzare i dati per finalità e in ambiti non consentiti. 3. Le verifiche da parte del fornitore Il fornitore del servizio deve esaminare la richiesta e accertare l´esistenza dei presupposti per l´accesso. Nell´accertare la rispondenza delle richieste di accesso al dettato normativo, il fornitore del servizio deve verificare preliminarmente l´identità e la legittimazione dell´interessato richiedente. L´accertamento va condotto, in ogni caso, con particolare scrupolo. Se la richiesta è avanzata da soggetti non abbonati, o da titolari di schede pre-pagate di telefonia mobile occorrerà operare con una maggiore, specifica diligenza, nel riscontrare la pertinenza dei dati al soggetto richiedente. Analoga diligenza è necessaria nella considerazione del periodo temporale oggetto della richiesta dei dati di traffico telefonico nei casi in cui questa provenga da nuovi abbonati o da nuovi esclusivi utilizzatori di schede prepagate. Spetta all´interessato richiedente indicare al fornitore tutti gli elementi utili per documentare la pertinenza dei dati al richiedente medesimo e per consentire una riscontro positivo alla richiesta. Deve essere fornita una descrizione anche sintetica, ma puntuale e concreta delle circostanze di fatto cui la richiesta si riferisce, corredata da una documentazione non generica. Sebbene non sia indispensabile che il richiedente documenti anche il numero di repertorio di un procedimento penale, stante anche il fatto che le indagini difensive possono essere avviate lecitamente prima di tale procedimento e per l´eventualità che esso sia instaurato (art. 391-nonies c.p.p.), il fornitore deve essere posto in condizione di verificare che la richiesta sia adeguatamente motivata in merito all´esistenza del pregiudizio effettivo e concreto ad indagini difensive in corso. Il fornitore non deve subordinare la risposta alla presentazione di una autorizzazione -non prevista- dell´autorità giudiziaria (art. 132, comma 3), né opporre un diniego indifferenziato ad ogni richiesta di accesso senza avere effettuato prima i necessari riscontri. Se ne ricorrono i presupposti, il diritto di accesso può essere esercitato anche rispetto a dati personali comunque conservati ivi compresi quelli detenuti per obbligo di legge (art. 132, comma 3, del Codice). Possono essere richiesti anche dati di traffico relativi a comunicazioni telefoniche diverse dalle chiamate, restando ovviamente esclusi i contenuti (in particolare, concernenti messaggi di testo del tipo Sms e Mms: cfr. art. 4, comma 2, lett. a) e b)). La risposta, anche negativa, deve essere fornita all´interessato richiedente senza ritardo, e comunque non oltre il termine di legge di quindici giorni dal ricevimento della richiesta. Nei casi in cui le operazioni necessarie per un integrale riscontro sono di particolare complessità , o ricorre altro giustificato motivo, va data comunicazione all´interessato entro il medesimo termine di quindici giorni e l´integrale riscontro va fornito entro trenta giorni dal predetto ricevimento (art. 146, comma 3). L´interessato al quale non sia fornito riscontro o che riceva un riscontro ritenuto inidoneo può rivolgersi nei modi di legge, per l´esercizio del diritto di accesso, all´autorità giudiziaria o al Garante (art. 145 ss.). Stante la necessità , posta per legge, di limitare l´accesso solo ai dati la cui mancata conoscenza comporta il predetto pregiudizio, è necessario che l´eventuale risposta positiva alla richiesta riguardi, salvo casi eccezionali che richiedono particolare prova e motivazione, solo i seguenti dati relativi alle comunicazioni entranti (numero del chiamante; data, ora d´inizio e tipologia della comunicazione; durata della chiamata). I dati conosciuti in sede di accesso non possono essere utilizzati dal richiedente in ambiti diversi dal penale. Ogni diversa utilizzazione fuori del contesto dichiarato ne comporta l´insanabile inutilizzabilità (art. 11, comma 2 del Codice). 4. Sicurezza dei dati e delle notizie fornite dall´interessato richiedente I fornitori devono trattare i dati e le notizie fornite dagli interessati richiedenti con l´adozione di particolari misure volte ad assicurare la loro conoscenza e conservazione con modalità equivalenti a quelle previste per legge per il trattamento dei dati di traffico (art. 123, comma 5). TUTTO CIÒ PREMESSO IL GARANTE: ai sensi dell´art. 154, comma 1, lett. c), del Codice, prescrive ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, in qualità di titolari del trattamento di dati personali, di adottare, nei termini indicati in motivazione, le misure necessarie ed opportune per rendere il trattamento di dati personali relativo a richieste di esercizio dei diritti dell´interessato in riferimento a comunicazioni telefoniche in entrata conforme alle disposizioni vigenti. In particolare prescrive al fornitore di: 1. accertare preliminarmente l´identità e la legittimazione dell´interessato richiedente; 2. effettuare, sulla base degli elementi forniti dal richiedente, una verifica tesa ad accertare che la richiesta sia adeguatamente motivata in merito all´esistenza del pregiudizio effettivo e concreto ad indagini difensive in corso e, quindi, solo in tale circostanza, procedere alla comunicazione dei dati relativi al traffico telefonico entrante; 3. munirsi di una dichiarazione sottoscritta personalmente dall´interessato richiedente (e/o dal difensore cui sia stato conferito il mandato per le indagini difensive), nella quale il dichiarante attesti, sotto la propria responsabilità , la veridicità di quanto prospettato e manifesti l´impegno a non utilizzare i dati per finalità e in ambiti non consentiti; 4. dare riscontro alle richieste dell´interessato senza ritardo, e comunque non oltre il termine di legge di cui all´art. 146, commi 2 e 3 del Codice; 5. trattare i dati e le notizie fornite dagli interessati richiedenti con particolari modalità volte ad assicurare la loro conoscenza e conservazione con modalità equivalenti a quelle previste per legge per il trattamento dei dati di traffico (art. 123, comma 5). InquadramentoIl Garante per la protezione dei dati personali, con provvedimento del 3 novembre 2005 («Provvedimento»), ha individuato i limiti entro i quali i fornitori dei servizi di comunicazione elettronica accessibili al pubblico sono tenuti a muoversi, al fine di riscontrare le richieste di accesso diretto ai dati personali, relativi alle chiamate telefoniche in entrata, avanzate da un interessato o suo delegato (ai sensi degli abrogati artt. 7 e 8, comma 2, lett. f) del d.lgs. n. 196/2003 in materia di protezione dei dati personali), nonché le garanzie a tutela di questa tipologia di dati di traffico. Sono state, così, definite le cautele da adottare e la condotta da tenere ai fini del riscontro, dovendo essere salvaguardata la libertà e la segretezza delle comunicazioni dei diversi soggetti coinvolti; basti considerare il fatto che le chiamate telefoniche entranti possono contenere informazioni riconducibili non solo al titolare della linea telefonica, ma anche ad altre persone fisiche, quali ad esempio, coniuge, figli, genitori, amici di quest'ultimo. Alle persone fisiche, i cui dati sono oggetto di trattamento (interessati), è riconosciuto un potere di controllo sui propri dati personali (ivi inclusi i dati relativi al traffico), tramite l'esercizio di specifici diritti. Il «diritto di accesso», in particolare, è il diritto dell'interessato di richiedere ed ottenere informazioni sul trattamento e sui dati trattati, di conoscere l'esistenza di dati personali che lo riguardano, la loro origine, le finalità e le modalità del trattamento, gli estremi identificativi del titolare e del responsabile, i soggetti ai quali i dati possono essere comunicati, il periodo di conservazione (ove possibile, o i criteri utilizzati per determinarlo), l'esistenza del diritto di chiedere la rettifica, l'integrazione, la cancellazione, l'opposizione al trattamento ecc. Il diritto esercitabile dall'interessato, nei confronti del titolare del trattamento, è inderogabile consensualmente e può essere ripetuto a intervalli ragionevoli. Excursus normativo e contesto di riferimentoPer comprendere le modifiche introdotte dal d.lgs. n. 101/2018 al d.lgs. n. 196/2003, «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE» (di seguito «codice privacy»), nonché dal d.l. n. 132/2021 recante «Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP», convertito con modificazioni dalla l. n. 178/2021 ed i possibili impatti sul Provvedimento de quo, si ritiene opportuno richiamare, in prima istanza, l'excursus normativo, in cui quest'ultimo ha avuto origine ed è maturato, stante un periodo storico segnato da gravi episodi di terrorismo internazionale. A tal fine, si veda anche quanto riportato a commento del provvedimento del Garante del 17 gennaio 2008 in tema di «Sicurezza dei dati di traffico telefonico e telematico», come modificato ed integrato dal provvedimento del 24 luglio 2008 di recepimento normativo in tema di dati di traffico telefonico e telematico. DefinizioniIl Provvedimento si rivolge ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, ossia a quei soggetti che «realizzano esclusivamente, o prevalentemente, una trasmissione di segnali su reti di comunicazione elettronica, a prescindere dall'assetto proprietario della rete, e che offrono servizi a utenti finali secondo il principio di non discriminazione» (sono esclusi, ad esempio, search engine, content provider) – cfr. GPDP 17 gennaio 2008 [doc. web n. 1482111], come modificato ed integrato da GPDP 24 luglio 2008 [doc. web n. 1538224]. I dati relativi al traffico, quali dati di carattere personale, sono i dati sottoposti a trattamento «ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione» (cfr. art. 121, comma 1-bis, lett. h) cod. privacy; considerando 15 e art. 2 dir. 2002/58/CE). Pur trattandosi di dati esterni alla comunicazione, dunque non in grado di rivelarne il contenuto, i dati di traffico telefonico (es. numero chiamante, numero chiamato, timestamp) e telematico (es. accesso alla rete internet, posta elettronica, VoIP) sono attenzionati dal legislatore, in quanto consentono di ricostruire nel tempo relazioni personali, lavorative, sociali, nonché di evincere comportamenti ed abitudini delle persone. Un utente è «qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata» (cfr. art. 121, comma 1-bis, lett. g) cod. privacy); tale definizione esclude le persone giuridiche, enti o associazioni suindicate, che si avvalgono di un servizio consistente nella trasmissione di segnali su reti di comunicazioni elettroniche senza esservi necessariamente abbonate. Diversamente, il concetto di contraente ricomprende tanto le persone fisiche quanto le giuridiche dovendo intendersi «qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate», ai sensi dell'art. 121, comma 1-bis, lett. f) cod. privacy. L'interessato, quale soggetto legittimato ad esercitare il diritto di accesso ai propri dati personali, compresi i dati di traffico, può essere tanto il titolare dell'utenza o di scheda prepagata di telefonia mobile, quanto l'utente chiamato, non abbonato al servizio di comunicazione elettronica, come un familiare, un amico del contraente o altro soggetto terzo. Accesso ai dati di traffico telefonico in entrata ante/post sentenza CGUE 2 marzo 2021Il Provvedimento de quo è stato adottato in un momento storico in cui l'art. 132, comma 3, cod. privacy statuiva espressamente che i dati relativi al traffico, conservati ai fini di accertamento e repressione dei reati, potessero essere acquisiti entro i termini di conservazione di legge «presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private.» Peraltro, il difensore dell'imputato o della persona sottoposta alle indagini poteva richiedere «direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale», ma la richiesta di accesso diretto traffico telefonico in entrata era ammessa solo nel caso in cui dalla mancata disponibilità dei dati potesse «derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397»; diversamente i diritti di cui agli artt. da 12 a 22 del Regolamento potevano essere esercitati con le modalità di cui all'art. 2-undecies, comma 3, terzo, quarto e quinto periodo cod. privacy. In quel momento storico, con il Provvedimento in esame il Garante aveva chiarito che, di regola, non era ammesso avanzare una richiesta di accesso diretto alle comunicazioni telefoniche in entrata verso un fornitore di un servizio di comunicazione elettronica, salvo il caso in cui dalla mancata risposta potesse derivarne «un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000 n. 397», ai sensi dell'art. 8, comma 2, lett. f) cod. privacy A-R. Come osservato dal Garante tale disposizione tracciava «un bilanciamento tra il diritto dell'interessato ad accedere ai dati che lo riguardano e il diritto alla riservatezza di terzi (utenti chiamanti e soggetti chiamati), circoscrivendo il diritto di accesso esercitabile direttamente dal chiamato alle sole comunicazioni ‘in entrata' di cui sia necessaria la conoscenza in quanto, altrimenti, ne deriverebbe un pregiudizio per lo svolgimento delle investigazioni difensive di cui alla l. n. 397/2000, pregiudizio che deve essere effettivo e che va comprovato concretamente caso per caso» (cfr. GPDP 15 aprile 2004 [doc. web n. 1097458], GPDP 5 novembre 2003 [doc. web n. 1053834], GPDP 16 ottobre 2002 [doc. web n. 1066671], GPDP 30 settembre 2002 [doc. web n. 1066405]). Il potere di controllo sui propri dati personali, ivi inclusi i dati relativi al traffico, riconosciuto all'interessato, trovava, dunque, un limite nel diritto alla riservatezza del terzo chiamante, con un'eccezione che operava esclusivamente nel contesto di un procedimento penale (non nell'ambito di una controversia civile, amministrativa, contabile ecc.) o di indagini difensive in corso. In quanto eccezione ad una regola generale, la sua applicazione doveva essere effettuata sulla base di un'interpretazione restrittiva (Cassano, 1289). Se l'interessato aveva conferito mandato ad un difensore, poi, spettava a quest'ultimo, nello svolgimento di attività investigative anche preventive (ai sensi della l. n. 397/2000), richiedere le comunicazioni telefoniche in entrata direttamente al fornitore dei servizi di comunicazione elettronica, comprovando la necessità di accesso e dunque fornendo elementi idonei a dimostrare che dal mancato positivo riscontro deriverebbe un pregiudizio all'esercizio del diritto di difesa «reale e specifico», non meramente utile o funzionale. La richiesta di accesso doveva essere avanzata con le modalità indicate dall'art. 391-quater c.p.p., che disciplina la richiesta di documentazione alla pubblica amministrazione. Nella valutazione di una richiesta di accesso diretta alle comunicazioni telefoniche in entrata, il Provvedimento prescriveva al fornitore di accertare, in via preliminare, con scrupolo e diligenza, l'identità e la legittimazione dell'interessato richiedente. Nel caso in cui l'istanza veniva avanzata da una persona diversa dal titolare dell'utenza, il fornitore era tenuto ad acquisire gli elementi utili per riscontrare la pertinenza dei dati al soggetto richiedente ed una dichiarazione/comunicazione che, nel periodo per il quale si richiedeva il traffico entrante, quest'ultimo era stato autorizzato dal titolare dell'utenza al suo utilizzo. La richiesta al fornitore era legittima se accompagnata dall'impegno dell'interessato richiedente ad utilizzare i dati esclusivamente in ambito penale, nonché da idonea documentazione sugli elementi di pregiudizio e da un'attestazione di veridicità di quanto dichiarato, sottoscritta personalmente dall'interessato richiedente, consapevole delle proprie responsabilità . La richiesta eventualmente avanzata dal difensore, munito di mandato, doveva essere sottoscritta anche dall'interessato. Al riguardo, si evidenzia che un avvocato poteva comprovare il pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive, che sarebbe derivato dalla mancata disponibilità dei dati, senza dover menzionare necessariamente il numero di repertorio di un procedimento penale (cfr. art. 6, comma 2, del «Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive» adottato il 6 novembre 2008 ed entrato in vigore il 1° gennaio 2009, ex Allegato A.6. cod. privacy). Tale espressa esclusione non si ritrova, invece, nell'art. 6 delle «Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria» del 19 dicembre 2018 (Allegato A.2. cod. privacy), di seguito descritte. Ai fini del riscontro, il fornitore non necessitava di un'autorizzazione dell'autorità giudiziaria e dovevano essere forniti solo i dati esteriori delle comunicazioni entranti (numero del chiamante, data, ora di inizio e tipologia della comunicazione, durata) e non il loro contenuto. Successivamente, tuttavia, è intervenuto il legislatore italiano a ristabilire la parità delle parti nel contraddittorio, in tema di acquisizione dei dati relativi al traffico, ivi incluso quello in entrata. È stato, così, adottato il d.l. 30 settembre 2021, n. 132 recante «Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP», convertito con modificazioni dalla l. 23 novembre 2021, n. 178. Nel corso dell'esame del disegno di legge di conversione, la Camera ha, tra l'altro, inserito una disposizione che sanziona con l'inutilizzabilità l'acquisizione dei dati di traffico in violazione di legge ed introdotto una disciplina transitoria relativa ai dati di traffico acquisiti prima dell'entrata in vigore del decreto-legge, prevedendo che tali dati possano essere utilizzati a carico dell'imputato solo unitamente ad altri elementi di prova, per l'accertamento dei gravi o specifici reati e dietro controllo di un'autorità giurisdizionale. L'intervento normativo si è reso necessario per dar seguito alla sentenza 2 marzo 2021 nella causa C-746/18 (H.K., Prokuratuur) della Corte di giustizia dell'Unione europea (di seguito «Corte giustizia UE» o anche «CGUE»), in considerazione del fatto che l'art. 132 non rispettava i principi da essa enunciati, poiché consentiva l'accesso ai dati di traffico a fini di indagine per qualsiasi ipotesi di reato e l'acquisizione a seguito di semplice richiesta del pubblico ministero, senza il vaglio del giudice. L'art. 132 cod. privacy è stato, conseguentemente, modificato per limitare l'accesso ai dati di traffico telefonico e telematico, a fini di indagine penale, nei soli casi di gravi o specifici reati e sempre previa autorizzazione o convalida del giudice, con decreto motivato. È stata, altresì, sancita con l'inutilizzabilità l'acquisizione dei dati di traffico in violazione di legge (cfr. comma 3-quater dell'art. 132 cod. privacy). Il comma 3 dell'art. 132 cod. privacy, nella sua attuale formulazione, dispone che «se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell'articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l'accertamento dei fatti, i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private». La richiesta, naturalmente, deve pervenire entro i termini di conservazione imposti al fornitore, ossia: a) ventiquattro mesi per i dati di traffico telefonico; b) dodici mesi per i dati di traffico telematico; c) trenta giorni per i dati relativi alle chiamate senza risposta, da intendersi come le chiamate collegate con successo, ma che non hanno avuto risposta o per le quali è intervenuto il gestore della rete (cfr. art. 2, paragrafo 2, lett. f), dir. 2006/24/CE; art. 1, comma 1, lett. e) d.lgs. n. 109/2008; art. 12-ter, comma 1, l. n. 38/2009); d) settantadue mesi per le finalità di accertamento e repressione dei reati di cui all'art. 24 della l. n. 167/2017. È venuta meno, così, anche la possibilità per i difensori di domandare l'accesso ai dati direttamente al fornitore, in relazione alle utenze dei propri assistiti (a prescindere dalla tipologia di traffico e della qualità di imputato, di indagato, parte offesa o altra parte privata), in quanto la richiesta dovrà essere sottoposta e vagliata dal giudice. Conservazione dei dati di traffico per finalità di contrasto al terrorismoIl d.lgs. n. 101/2018 ha introdotto all'art. 132 cod. privacy un ultimo comma, il 5-bis, che ha fatto salva la disciplina sulla conservazione dei dati di traffico per finalità di contrasto del terrorismo di cui alla l. n. 167/2017 («legge europea 2017»), stabilendo in settantadue mesi «il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta», in deroga al termine di ventiquattro mesi previsto dall'art. 132, comma 1, cod. privacy. Tale disposizione dà attuazione alla facoltà riconosciuta a ciascuno Stato membro dell'Unione europea di adottare misure legislative, che limitano alcune garanzie sulla vita privata (riservatezza delle comunicazioni e dei dati sul traffico, presentazione e restrizione dell'identificazione della linea chiamante e collegata, dati sull'ubicazione diversi dai dati di traffico ai sensi degli artt. da 5 a 6, art. 8 paragrafi da 1 a 4, e art. 9 dir. 2002/58/CE) quando ciò sia necessario, opportuno e proporzionato per la salvaguardia di interessi pubblici (art. 15 dir. 2002/58/CE) – si veda quanto riportato a commento dell'art. 132 cod. privacy. Regole deontologicheL'art. 20, comma 4, del d.lgs. n. 101/2018 ha demandato al Garante il compito di verificare, entro novanta giorni dalla data di entrata in vigore del decreto stesso (ossia a decorrere dal 19 settembre 2018), la conformità al regolamento delle disposizioni contenute in alcuni codici deontologici vigenti (allegati da A.1 ad A4 e A.6 al codice privacy), tra i quali quelle contenute nel «Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive» (A.6), adottato il 6 novembre 2008 ed efficace, come gli altri, sino al pubblicazione in Gazzetta Ufficiale delle disposizioni considerate compatibili, ridenominate «regole deontologiche», da riportare nell'allegato A al codice privacy, con decreto del Ministro della Giustizia. Ebbene, con riferimento al citato Allegato A.6, il Garante ha provveduto ad eliminare il preambolo, che enfatizzava i presupposti della sottoscrizione del codice di deontologia, ad elidere la disposizione di cui all'art. 12 riguardante il monitoraggio periodico dell'attuazione ai fini di un eventuale adeguamento rispetto all'evoluzione tecnologica e normativa, nonché a ridenominare le disposizioni conformi al Regolamento «Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria» (cfr. Allegato 1 alla Delibera n. 512/2018); le rimanenti disposizioni sono essenzialmente invariate rispetto alla versione del 2008. L'Autorità ha, altresì, disposto la trasmissione della delibera all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana, nonché al Ministero della giustizia per essere riportato nell'allegato A al codice privacy (A.2). La pubblicazione è avvenuta in G.U. n. 12 del 15 gennaio 2019. Le suddette regole deontologiche si rivolgono sostanzialmente ad avvocati e investigatori privati ma, come disposto dall'art. 7, sono applicabili anche ai trattamenti effettuati da parte di liberi professionisti che, su mandato dell'avvocato o con esso, svolgono attività di consulenza e assistenza per far valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive (es. consulenti tecnici di parte). Inadempimento e sanzioniIn merito alle sanzioni occorre evidenziare che l'art. 15, comma 1, lett. a) del d.lgs. n. 101/2018 è intervenuto sull'art. 166 cod. privacy, sostituendolo integralmente e prevedendo espressamente, al comma 2, che sono «soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, GDPR le violazioni delle disposizioni di cui agli articoli [omissis] 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater [omissis]». In caso di violazione delle disposizioni di cui all'art. 132 cod. privacy può essere comminata, dunque, la sanzione amministrativa pecuniaria di cui all'art. 83, paragrafo 5, GDPR: fino a 20 Mln/€ o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente se superiore (art. 166, comma 2, cod. privacy). La quantificazione dell'importo della sanzione si basa su una specifica valutazione da effettuarsi caso per caso, nell'ambito dei parametri previsti dal Regolamento. Con riferimento a ciò, nel maggio 2023, il Comitato europeo per la protezione dei dati («European Data Protection Board» o «EDPB») ha adottato le linee guida sul calcolo delle sanzioni amministrative dalle quali emerge una modalità di calcolo composta sostanzialmente da cinque fasi: identificazione delle operazioni di trattamento del caso e valutazione dell'applicazione art. 83, paragrafo 3, Regolamento; classificazione della violazione, valutando la gravità della violazione alla luce delle circostanze del caso ed il fatturato dell'impresa; valutazione delle circostanze aggravanti e attenuanti relative al comportamento passato o presente del titolare/responsabile del trattamento; identificazione dei massimi legali pertinenti per le diverse infrazioni; analisi dell'importo finale per come calcolato, al fine di accertare che soddisfi i requisiti di efficacia, dissuasività e proporzionalità , ai sensi dell'art. 83, paragrafo 1, Regolamento. L'ammenda può ancora essere adeguata di conseguenza, senza tuttavia superare il massimo legale – cfr. EDPB, lg calcolo sanzioni 4/2022 (en), v. 2.0. Spetta al Garante per la protezione dei dati personali, quale organo competente, irrogare la sanzione amministrativa; a tal fine, il procedimento per la sua adozione può essere avviato a seguito di reclamo (art. 77 GDPR), di attività istruttoria su propria iniziativa [propria dell'autorità nazionale, n.d.r.], nell'esercizio dei poteri di indagine (art. 58, paragrafo 1, GDPR), per accessi, ispezioni o verifiche svolte in base a poteri di accertamento autonomi o delegati dal Garante medesimo. Nell'adozione di un provvedimento sanzionatorio può trovare applicazione, altresì, la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante (art. 166, comma 7, cod. privacy). BibliografiaCassano, Codice dell'Internet, Milano, 2006; Di Filippo, Dati esteriori delle comunicazioni e garanzie costituzionali, in Giur. it., 1995, I, 111 ss.; Fulco, Bolognini (a cura di), Deontologia privacy per avvocati e investigatori privati: commento al Codice di deontologia e di buona condotta per i trattamenti di dati personali ai fini della difesa in giudizio, Milano, 2009; Lupária (a cura di), Sistema penale e criminalità informatica, Milano, 2009; Relazione illustrativa schema di decreto A.G. 22, in https://www.camera.it, 2018. |
