Dati traffico Internet: torna in vigore la data retention ordinaria

di Andrea Monti

03 Luglio 2017

Non è stato prorogato l’articolo 4bis del Dl 18 febbraio 2015, n. 7 convertito in legge dalla legge 43/2015 che, ai primi due commi ha fissato - eccezionalmente - al 30 giugno 2017 il termine finale per la conservazione obbligatoria dei dati di traffico Internet, mentre al comma 3 dice chiaramente che «Le disposizioni di cui ai commi 1 e 2 cessano di applicarsi a decorrere dal 1° luglio 2017».

Di conseguenza, alla mezzanotte del 30 giugno, Internet provider e operatori telefonici hanno cancellato (o avrebbero dovuto farlo) i dati di traffico telematico che gli utenti generano ogni volta che si collegano alla rete.

Questa scelta (o svista) compromette seriamente le indagini di polizia giudiziara, perché potrebbe già essere stato disperso un enorme patrimonio informativo, fatto di numeri IP, sistema operativo e browser dell’utente, data e ora dei collegamenti, servizi utilizzati e via discorrendo, che i fornitori di accesso dovevano conservare e mettere a disposizione di magistrati e servizi segreti.

L’impatto della mancata proroga sulle indagini in corso sarebbe potenzialmente enorme perché senza i dati di traffico diventa molto difficile stabilire collegamenti fra persone, ricostruire comunicazioni e spostamenti e, in generale, acquisire rapidamente informazioni utili alle indagini.

La data-retention indiscriminata (cioè la raccolta generalizzata di dati di traffico telematico a prescindere da una necessità investigativa specifica) era stata imposta dalla direttiva 2006/24/EC, poi dichiarata illegittima nel 2014 dalla Corte di giustizia dell’Unione europea.

A seguito di quella sentenza, gli Stati membri che avevano recepito la direttiva avrebbero dovuto eseguire uno “stress test” per verificare se le singole normative nazionali sulla data-retention fossero o meno compatibili con i principi espressi.

Per quanto riguarda l’Italia, invece che nel Codice di procedura penale, la direttiva 24/2006 era stata recepita modificando il Dlgs 196/03, cioè il Codice dei dati personali, attribuendo così all’autorità nazionale di protezione dei dati la titolarità del tema.

Dopo la sentenza della Corte europea, tuttavia, non risulta che il garante dei dati personali (che si limitò a un «auspicio»), il Parlamento o il Governo abbiano eseguito lo stress test sulla norma in questione.

Dunque, per anni, i fornitori di servizi di comunicazione elettronica hanno continuato ad accumulare dati – pur cancellandoli periodicamente, come vuole la legge – sulla base delle varie proroghe ma senza sapere se, a monte, la normativa fosse legittima o meno.

Gli scenari che si aprono ora, dal 1° luglio, sono essenzialmente due: conferma dell’abolizione dell’obbligo, sua reintroduzione tramite legge o decreto legge. Ma nel secondo caso, ovviamente, la riattivazione dell’obbligo di conservare i dati riguarderebbe solo quelli che – per varie ragioni – non sono stati ancora cancellati dagli operatori. E anche se venisse emanato un decreto legge per “salvare” i dati non ancora cancellati ci sarebbero comunque problemi di tipo processuale.

I dati, infatti, anche se solo per qualche giorno sarebbero stati conservati in violazione di legge e dunque la loro utilizzabilità nel dibattimento sarebbe più che dubbia.

In parallelo, se da qualche parte emergessero dati conservati nel periodo di vuoto normativo, il garante dovrebbe sanzionare gli operatori “smemorati” per avere eseguito trattamenti in violazione di legge.

Dal 1° luglio torna dunque in vigore la data-retention “ordinaria” (un solo anno per i dati di traffico telematico e due anni anni per il traffico telefonico) ma sempre senza certezze sulla sua legittimità.