Fra gli interventi modificativi successivi alla sua entrata in vigore, assumono particolare rilievo quelli in tema di "data retention". 

La norma in questione è l’art. 132 Codice, rubricato (Conservazione di dati di traffico per altre finalità), oggetto di tre successivi interventi, l’ultimo dei quali è contenuto nell’art. 6, co. 3 del D.L. 27.07.2005 n. 144, convertito in L. 31.07.2005, n. 155.

Prima di entrare nell’esame del merito della citata norma, è necessario precisare che il nuovo assetto delineato dall’art. 132 Codice non è ancora operativo, dal momento che non sono stati ancora emanati i Provvedimenti applicativi previsti in relazione al disposto di cui all’art. 132, co. 5 Codice. Venendo al testo vigente dell’art. 132 Codice, l’attuale disciplina in tema di data retention è la seguente: 

- per le finalità di accertamento e di repressione dei reati, i dati relativi al traffico telefonico - compresi quelli relativi alle chiamate senza risposta - sono conservati dal fornitore per 24 mesi. Terminato il suddetto periodo, i dati di tale natura sono conservati per ulteriori 24 mesi per esclusive finalità di accertamento e repressione di delitti particolarmente gravi (quelli ex art. 407, co. 2, lett. a) cod. proc. pen., nonché quelli in danno di sistemi informatici o telematici);

- per le finalità di accertamento e di repressione dei reati, i dati relativi al traffico telematico sono conservati dal fornitore per 6 mesi. Terminato il suddetto periodo, i dati di tale natura sono conservati per ulteriori 6 mesi esclusive finalità di accertamento e repressione di delitti particolarmente gravi (quelli ex art. 407, co. 2, lett. a) cod. proc. pen., nonché quelli in danno di sistemi informatici o telematici);

- è in ogni caso esclusa la conservazione del contenuto delle comunicazioni. 

In tema di "data retention", inoltre, non si può dimenticare che nei primi mesi del 2006, non senza suscitare polemiche, è stata emanata la Direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE.

Il legislatore comunitario, in particolare:

 - ha stabilito un obbligo di conservazione di alcune tipologie di dati, ove siano generati o trattati nel quadro della fornitura di servizi di comunicazione da fornitori di servizi di comunicazione elettronica accessibile al pubblico o di una rete pubblica di comunicazione,

- le tipologie di dati oggetto dell’obbligo di conservazione sono (come indicati specificamente nell’art. 5, suddivisi a seconda che si riferiscano alla telefonia di rete fissa e telefonia mobile, oppure all’accesso Internet, posta elettronica su Internet e telefonia via Internet):

• dati necessari per rintracciare e identificare la fonte di una comunicazione;
• dati necessari per rintracciare e identificare la destinazione di una comunicazione;
• dati necessari per determinare la data, l’ora e la durata di una comunicazione;
• dati necessari per determinare il tipo di comunicazione;
• dati necessari per determinare le attrezzature di comunicazione degli utenti (reali o presunte);
• i dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile.

- ha comunque espressamente previsto il divieto di conservazione di dati relativi al contenuto della comunicazione,

- ha individuato il periodo di conservazione: non inferiore a sei mesi e non superiore a due anni.

Infine, la direttiva prevede che gli Stati membri provvedano ad emanare le disposizioni (legislative, regolamentari ed amministrative) necessarie per conformarsi alla normativa comunitaria al più tardi entro il 15 settembre 2007. Con specifico riferimento alla conservazione di dati di comunicazione concernenti l’accesso ad Internet, la telefonia via Internet e la posta elettronica su Internet, la direttiva ha previsto la facoltà per gli Stati membri di differire l’applicazione, mediante notifica al Consiglio e alla Commissione di specifica dichiarazione all’atto dell’adozione della direttiva, da pubblicarsi sulla G.U.C.E.-. 

In sede di attuazione della normativa comunitaria, dovrà essere tenuto presente che l’art. 6, co. 1 del citato D.L. 144/2005 (conv. in L. 155/2005), sospende fino al 31.12.2007 l’applicazione di qualsiasi disposizione (legislativa, regolamentare o dell’autorità amministrativa) che prescrive o consente la cancellazione dei dati di traffico telematico e telefonico, imponendo, invece, la loro conservazione – esclusi comunque i contenuti e limitatamente alle informazioni che consentono la tracciabilità degli accessi – fino a tale data, fatta salva l’applicazione di norme che prevedano un periodo di conservazione ulteriore. 

Misure minime di sicurezza

Dopo numerose proroghe, è diventato definitivo l’obbligo di adozione delle misure minime di sicurezza "nuove", rispetto a quelle già previste dall’impianto normativo di cui alla L. 675/96 e D.P.R. 318/99.Queste, pertanto, dovevano essere adottate entro il 31 marzo 2006 (art. 180, co. 1, Codice), mentre era fissato per il 30 giugno 2006 il termine per l’adeguamento degli strumenti, nei casi di "obiettive ragioni tecniche" che non consentissero in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 Codice e delle corrispondenti modalità tecniche di cui all’Allegato B), previa descrizione delle suddette ragioni in un documento avente data certa da conservare presso la propria struttura (art. 180, co. 3). 

* * * 

Dopo aver esaminato l’attuale ed importante tema della data retention ed aver evidenziato la definitiva e completa messa a regime delle norme in materia di misure minime di sicurezza, può essere utile passare ad un piano più generale ed esporre una breve visione complessiva e prospettica dell’impianto normativo delineato dal Codice.

Con la crescente globalizzazione dei rapporti e delle relazioni commerciali, diventa sempre più importante e difficile, al tempo stesso, tracciare i confini di tutela del diritto alla privacy e alla riservatezza, nello scambio di dati e informazioni.

A tale proposito il Codice Privacy costituisce il punto di arrivo di un lungo processo normativo che ha avuto inizio in Italia con l’introduzione, nel nostro ordinamento, della Legge 31 dicembre 1996, n. 675.

La L. 675/96 (adottata in recepimento della Direttiva 95/46/CE) attribuiva senza dubbio un alto livello di protezione dei dati personali, imponendo ai soggetti cui competono le decisioni, in ordine alle modalità e finalità del trattamento (titolari del trattamento), l’adozione di una serie di adempimenti più o meno complessi, concernenti le diverse fasi di raccolta, elaborazione, conservazione e più in generale di trattamento dei dati personali, ivi compreso il profilo della sicurezza.

Nell’arco dei sette anni in cui tale normativa è stata in vigore, la stessa è stata modificata ben nove volte ed è stata affiancata da una notevole quantità di disposizione sparse, di varia origine e rango, che hanno finito per costituire, nel loro insieme, un sistema normativo notevolmente confuso, complesso e disorganico.

Si è trattato, infatti, di una vera e propria serie di interventi normativi, talvolta addirittura incoerenti o di natura transitoria, che si sono sovrapposti nel tempo e che sono stati adottati per esigenze di diversa natura, determinando così un disordine normativo sulla tutela dei dati personali che ha reso evidente l’esigenza di un’armonizzazione espositiva, attraverso la sistemazione organica della privacy in un unico corpo normativo.

Il Codice è nato proprio dall’esigenza di assicurare un testo normativo chiaro e, soprattutto, completo che garantisse all’interessato un elevato livello di tutela dei diritti e delle libertà in materia di privacy nel rispetto dei principi di semplificazione, armonizzazione ed efficacia.

I principi e le regole sancite dal Codice trovano applicazione in tutte le ipotesi in cui vengano da chiunque effettuate, nel territorio dello Stato italiano, operazioni di trattamento di dati personali, siano essi riferibili a persone fisiche e/o giuridiche e/o a qualsiasi altro ente o associazione. Nel medesimo ambito di applicazione della citata normativa rientrano altresì le operazioni di trattamento di dati personali svolte da “chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea (art. 5 comma 2).

Allegato al Codice è stato emanato, altresì, il Disciplinare Tecnico in materia di misure minime di sicurezza (Allegato B), che ha lo scopo di aggiornare e sostituire il D.P.R. 318/ 99, introducendo alcune importanti modifiche tecniche sulla base della passata esperienza ed in base alla evoluzione tecnologica che si è riscontrata negli ultimi anni. 

Il Disciplinare Tecnico, rispetto alla vecchia normativa, ha semplificato l’ambito della propria attuazione distinguendo soltanto tra i trattamenti effettuati attraverso l’uso di strumenti elettronici e quelli effettuati senza l’ausilio di quest’ultimi. Inoltre, assegna al Titolare, al Responsabile (se designato) e agli incaricati l’onere di adottare le misure minime ivi descritte. Uno degli elementi nuovi, è costituito proprio nell’aver esplicitamente inserito anche gli incaricati, tra i soggetti che hanno l’obbligo di applicare le misure minime seguendo le specifiche istruzioni impartitegli dal Titolare o dal Responsabile.

Al riguardo, si ricorda che le operazioni di trattamento possono essere effettuate:

1) solo da incaricati (incaricato può esser solo una persona fisica) che operano sotto la diretta autorità del Titolare o del responsabile, attenendosi alle istruzioni impartite;

2) la designazione dell’incaricato deve essere effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.

Con specifico riferimento alla garanzie per il trattamento dei dati sensibili, si deve segnalare che sono state aggiornate le Autorizzazioni generali.

In particolare, ad oggi queste sono:

• Autorizzazione n. 1/2005 al trattamento dei dati sensibili nei rapporti di lavoro - 21 dicembre 2005 (G.U. n. 2 del 3-1-2006 Suppl. Ordinario n.1),
• Autorizzazione n. 2/2005 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale - 21 dicembre 2005 (G.U. n. 2 del 3-1-2006 Suppl. Ordinario n.1),
• Autorizzazione n. 3/2005 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni - 21 dicembre 2005 (G.U. n. 2 del 3-1-2006 Suppl. Ordinario n.1),
• Autorizzazione n. 4/2005 al trattamento dei dati sensibili da parte dei liberi professionisti - 21 dicembre 2005 (G.U. n. 2 del 3-1-2006 Suppl. Ordinario n.1),
• Autorizzazione n. 5/2005 al trattamento dei dati sensibili da parte di diverse categorie di titolari - 21 dicembre 2005 (G.U. n. 2 del 3-1-2006 Suppl. Ordinario n.1),
• Autorizzazione n. 6/2005 al trattamento dei dati sensibili da parte degli investigatori privati - 21 dicembre 2005 (G.U. n. 2 del 3-1-2006 Suppl. Ordinario n.1),
• Autorizzazione n. 7/2005 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici - 21 dicembre 2005, (G.U. n. 2 del 3-1-2006 Suppl. Ordinario n.1).

Salvo proroghe, le predette Autorizzazioni saranno in vigore fino al 30 giugno 2007.  

Particolare importanza innovativa ha assunto poi l’introduzione delle nuove fonti normative rappresentate dai codici di deontologia e di buona condotta per determinati settori di attività. 

Ciò che caratterizza maggiormente tali codici è la loro sostanziale duttilità che permette di aggiornarli e modificarli, a seconda delle esigenze via via richieste (si pensi, ad esempio, al campo delle comunicazioni on line caratterizzate dalle continue novità tecnologiche), con un procedimento normativo rapido, semplice e caratterizzato da una migliore capacità di adattamento alla persistente evoluzione dei settori interessati alla disciplina.

Tale nuovo procedimento di codificazione ha posto in risalto due aspetti innovativi molto importanti.

Da una parte, il ruolo assunto dal Garante, il quale esercita un ampio potere di indirizzo e di controllo, sia sulla legittimazione rappresentativa dei soggetti elaboratori delle regole, sia nella valutazione che tali regole siano conformi ai principi del Codice e alle raccomandazioni adottate dal Consiglio d’Europa.

Dall’altra, il risultato effettivo che tale procedimento riesce a realizzare, facendo confluire, in un unico strumento normativo, gli atti comunitari (specificamente le raccomandazioni del Consiglio d’Europa), i poteri propulsivi e di indirizzo dell’Autorità Garante e l’elaborazione delle regole da parte dei soggetti rappresentativi di determinate categorie professionali.

A tal proposito, si segnala che fino ad oggi sono stati emanati:

• Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (G.U. n. 300 del 23 dicembre 2004),
• Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (G.U. n. 190 del 14 agosto 2004),
• Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del sistema statistico nazionale (GU n. 230 del 1 ottobre 2002),
• Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici (G. U. n. 80 del 5 aprile 2001),
• Codice di deontologia dei giornalisti (G. U. del 3 agosto 1998 n.179).

Al momento sono in fase di elaborazione altri codici relativi ai seguenti trattamenti di dati personali effettuati:

• nell’ambito dei servizi di comunicazione e informazione offerti per via telematica,
• a fini previdenziali o per la gestione dei rapporti di lavoro,
• a fini di invio di materiale pubblicitario o di vendita diretta,
• a fini di regolamentare la videosorveglianza,
• per il trattamento dei dati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.

In tema di codici deontologici, il Garante ha recentemente approvato la Deliberazione 20 luglio 2006 - Regolamento concernente la procedura per la sottoscrizione dei codici di deontologia e di buona condotta in materia di protezione dei dati personali (G.U. n. 183 del 8 Agosto 2006), in cui, tra l’altro, ha individuato i casi in cui può promuovere la sottoscrizione dei codici, precisando le fasi del relativo procedimento di adozione (promozione della sottoscrizione con delibera da pubblicarsi in G.U.; partecipazione dei soggetti coinvolti, nel rispetto del principio di rappresentatività; redazione di uno schema preliminare di codice da parte dei soggetti coinvolti; esame da parte del Garante dello schema preliminare di codice; prima diffusione per raccogliere eventuali osservazione da parte dei soggetti rappresentativi ex art. 12 Codice; redazione dello schema definitivo di Codice; esame da parte del Garante dello schema definitivo di Codice; sottoscrizione del Codice; comunicazione al Ministero della giustizia; pubblicazione in G.U.). 

Si deve poi segnalare l’intensa attività del Garante in relazione ai pareri resi sui regolamenti delle PA in materia di trattamento dei dati sensibili. 

Con riguardo ai servizi di comunicazione e informazione per via telematica non si può non porre in rilievo come l’affermazione di Internet - quale veicolo di manifestazione delle relazioni sociali senza confini territoriali - ed il parallelo sviluppo del commercio elettronico, rendano più che mai necessaria la definizione di regole uniformi, su scala mondiale, a protezione dei cittadini e dei consumatori. La definizione di regole comuni a livello mondiale resta infatti l’obiettivo fondamentale per garantire l’applicabilità e la reale efficacia anche delle normative nazionali, a tutela del diritto della privacy.  Il legislatore comunitario si è mosso in questa direzione, con la Direttiva 2000/31 sul commercio elettronico (G.U.C.E. n. L 178 del 17 luglio 2000), il cui obiettivo dichiarato è proprio l’armonizzazione dei sistemi nazionali attraverso l’istituzione, all’interno dell’Unione europea, di un quadro normativo omogeneo, volto a favorire lo sviluppo ed il buon funzionamento del commercio elettronico. Il legislatore italiano ha recepito i principi dettati dalla Direttiva 2000/31 CE con il D. Lgs. 14 aprile 2003, n. 70(G.U. n. 87 del 14 aprile 2003 - S.O. n. 61), in vigore dal 14 maggio 2003.

In tema di privacy, il D. Lgs. 70/2003 fissa alcune regole applicabili all’invio, per posta elettronica, di comunicazioni commerciali non sollecitate ed alla attività dei prestatori intermediari.  In materia di comunicazioni commerciali (non sollecitate) è necessario tenere in considerazione oltre a quanto disposto dal Codice (per cui vedi soprattutto l’art. 132 Codice), anche quanto disposto dal Codice del Consumo (D. Lgs. 6 settembre 2005, n. 206 - Codice del consumo, a norma dell’articolo 7 della legge 29 luglio 2003, n. 229) (G.U. n. 235, dell’8 ottobre 2005, S.O. n. 162 L). 

A livello europeo, inoltre, è necessario tenere in considerazione che è stata emanata la Direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell'11 maggio 2005, relativa alle pratiche commerciali sleali tra imprese e consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio («direttiva sulle pratiche commerciali sleali») (G.U.C.E. n. L 149 dell'11giugno 2005, pagg. 22 e ss.). 

L’armonizzazione della tutela a livello mondiale è altresì al centro del negoziato, in materia di "data protection", tra Stati Uniti ed Unione Europea che ha visto la posizione statunitense, più legata ai principi del libero mercato ad a regole flessibili, scontrarsi con quella, più rigida ed attenta ai diritti dell’individuo, dell’Unione Europea, fino a raggiungere un primo punto d’incontro nell’accordo "Safe Harbor" firmato nel luglio 2000.

L’aspetto del coordinamento delle normative dei diversi paesi è stata al centro delle problematiche connesse ai trasferimenti dei dati all’estero. Questa materia è stata oggetto di numerosi interventi a livello europeo.

Il Codice, innovando la precedente normativa, ha affrontato il tema del trasferimento dei dati all’estero nel Titolo VII delle Disposizioni Generali, distinguendo a seconda che il trasferimento avvenga tra Paesi dell’Unione Europea oppure verso Paesi Terzi. In relazione al primo caso l’art. 42 disciplina che le disposizioni del Codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali tra gli stessi Stati membri dell’Unione Europea. Tale articolo costituisce un’applicazione del principio della libera circolazione dei dati personali all’interno dello spazio comunitario, contenuto nell’art. 1 della direttiva 95/46/CE.

Per quanto riguarda l’ipotesi di trasferimenti di dati verso Paesi Terzi, il Codice prevede che tale operazione sia vietata quando l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un livello di tutela delle persone adeguato.Il trasferimento è, invece, consentito nelle ipotesi espressamente previste ed elencate dall’art. 43 oppure quando l’operazione sia autorizzata dal Garante nei casi in cui abbia individuato adeguate garanzie per i diritti dell’interessato, ovvero siano stati individuati dalla Commissione Europea livelli di protezione adeguati forniti da Paesi extra U.E. ed, infine, quando apposite clausole contrattuali offrano sul tema garanzie sufficienti (art. 44).      

AGGIORNAMENTO PRECEDENTE 

Home page            Articoli - Normativa             Contattaci