Dati altamente personali
La tipologia di dati personali che tipicamente la funzione IT utilizza è quella dei dei log e dei dati di traffico.
La direttiva ePrivacy 2002/58/CE definisce la nozione di “dati sul traffico” come:
«qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione».
Il codice privacy italiano riprende questa definizione (art. 121, comma 1-bis, lett. h) del codice).
Quindi, sono “dati di traffico”: numero chiamato o chiamante, data, ora e durata della comunicazione costituiscono informazioni che, ancorchè “esterne” al contenuto oggetto di comunicazione, rivelano profili di particolare delicatezza.
Mediante i “dati di traffico” si conosce chi si chiama o si contatta, con quale frequenza e per quale durata. Tanto è vero che i dati di traffico – insieme alle intercettazioni (che invece raccolgono le informazioni “interne”, cioè i contenuti della comunicazione verso le quali non si applicano le norme relative ai dati di traffico e che, pertanto, non vanno conservate) – costituiscono dei validi strumenti di investigazione.
La disciplina sui dati di traffico è contenuta nel Dlgs. n. 109/2008, il quale dà attuazione alla direttiva 2006/24/CE (direttiva Frattini).
Questa norma ha previsto regole per
- finalità di sicurezza pubblica ed anticrimine
- per la protezione di dati personali (mediante l’introduzione del testo dell’articolo 132 del codice privacy).
Successivamente, il Garante ha emesso un provvedimento, poi modificato, contenente speciali misure di sicurezza a protezione di questi dati.
In base alla normativa di primo e di secondo livello, il “fornitore di servizi di comunicazione elettronica accessibile al pubblico” ha l’obbligo di garantire:
- La disponibilità e l’effettiva univocità degli indirizzi IP (art. 6.5, D.Lgs n. 109/08)
- La raccolta di specifici dati di traffico (art. 3, D.Lgs n. 109/08)
- La conservazione degli stessi per periodi temporali determinati (artt. 132, D.Lgs n. 196/03 e 24 l. n. 167/2017)
- La comunicazione annuale di informazioni statistiche al Ministero di Giustizia (art. 4, D.Lgs n. 109/08)
- L’adozione di specifiche misure di sicurezza a protezione di tali informazioni (provv. Garante 17 gennaio – doc. web n. 1482111 – e 24 luglio 2008, doc. web n. 1538224).
L’articolo 132 del codice privacy prevede tempi di conservazione differenziati per tipologia di metadati per tener conto del principio della proporzionalità tra fini perseguiti e potenziali impatti sui diritti e sulle libertà degli interessati.
Questa originaria impostazione è stata derogata dalla legge n. 167/2017 che, per esigenze di contrasto al terrorismo ed a gravi crimini, estende il periodo di conservazione a 72 mesi senza alcuna differenziazione (art. 24).
Successivamente, a seguito delle pronunce della CGUE, il Dl. N. 132/2021 ha riscritto il comma 3 dell’articolo 132 del codice privacy stabilendo che «ove rilevanti ai fini della prosecuzione delle indagini, i dati [di traffico] sono acquisiti presso il fornitore con decreto motivato del giudice su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private».
V. anche in tema di “Dati di traffico” quanto indicato ai livelli “Approfondimento” ed “Esperto” di questa sezione “Dati”.