Privacy: obbligo di conserva dei dati del traffico telematico e telefonico

In questi giorni in Parlamento sono in corso le audizioni da parte degli stakeholder per esaminare la bozza del decreto di conversione per l’adeguamento della legislazione nazionale al Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Tra gli argomenti che hanno incontrato maggiori critiche da parte delle associazioni di categoria c’è l’istituto della data retention, per il quale la Legge Europea 2017, Disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea, entrata in vigore il 12 dicembre 2017 - all’art. 24,  ha introdotto – in capo agli operatori delle telecomunicazioni - l’obbligo di conservare i dati del traffico telematico e telefonico per un periodo di 72 mesi, per finalità di accertamento e repressione dei reati.
E’ bene ricordare che su tale questione il legislatore comunitario aveva riconosciuto in capo agli Stati membri la facoltà di porre un termine di conservazione, tenendo conto delle singole specificità, soprattutto sul versante della lotta al terrorismo.
Da più parti è stato fatto notare come il termine stabilito dall’Italia non ha analoghi riscontri nelle legislazioni nazionali degli altri Stati membri che si sono attestati su una media di 24 mesi, mentre un Paese coma la Russia, che certo non svetta tra i Paesi maggiormente attenti alle tutele civili dei propri cittadini, ha fissato il termine di conservazione a tre anni.
Per dare una idea dei numeri coinvolti, secondo i dati forniti dal  Garante,  quotidianamente vengono conservati dagli operatori quasi 5 miliardi di dati di traffico telematico.
Le perplessità di tale scelta adottata dal legislatore hanno origine da una serie di considerazioni riconducibili, sostanzialmente, a due rilievi:

1. quando si parla di conservazione dei dati di traffico telematico e telefonico si fa riferimento a dati riguardanti persone fisiche, il cui trattamento permette di venire a conoscenza di una serie di informazioni quali, ad esempio: quali e quante comunicazioni vengono effettuate, con quali frequenze, da quale località, quali e quanti siti vengono visitati, le operazioni che vengono svolte, ecc. A tale riguardo la giurisprudenza della Corte di Giustizia europea, chiamata a pronunciarsi nella sentenza 8 aprile 2014, cause riunite C-293/12 e C-594/12 Digital Rights Ireland, aveva annullato la Direttiva 2006/24/CE nella parte in cui stabiliva un termine di conservazione dei dati compreso tra 6 mesi e 24 mesi. Di conseguenza, il termine di 6 anni stabilito dal nostro legislatore ( che è pari a tre volte il termine sul quale si è pronunciata la Corte) fa sorgere seri dubbi sul rispetto del principio di proporzionalità, richiamato – peraltro – dall’art. 5, paragrafo 1.lettera e) del Regolamento europeo 2016/679. Sempre, ad avviso della Corte di Giustizia europea, il trattamento dei dati riguardanti il traffico telematico/telefonico consente a chi li possiede di desumere da essi una serie di informazioni che riguardano aspetti personali degli utenti. Tale mole di informazioni permette di arrivare anche a profilare gli individui! Per concludere sulla posizione della Corte di Giustizia, si rileva come una raccolta generale e indiscriminata dei dati di traffico telefonico e telematico, per un periodo molto prolungato viola il principio di proporzionalità e non può essere giustificato neanche dalla necessità di potere svolgere attività investigative, di contrasto al terrorismo.
2. Altro aspetto da prendere in esame attiene al fatto che un così alto periodo di conservazione fa aumentare, in maniera esponenziale, i rischi derivanti dalla violazione dei dati stessi con evidenti ripercussioni sulla tutela dei diritti e delle libertà delle persone fisiche, a cui il Regolamento (UE) 2016/679 riconduce esiti di tipo sanzionatorio molto impattanti.