DIMT.IT - retention

  • "Uno, nessuno e centomila": tra reputazione online e diritto all'oblio. Montuori (Garante Privacy): "Importante capire il diritto alla contestualizzazione dell'informazione"

    [caption id="attachment_5318" align="alignright" width="300"]Ascolta il podcast della puntata del 13 aprile 2014 Ascolta il podcast della puntata del 13 aprile 2014[/caption] Se le domande che ci poniamo su identità e skills delle persone trovano sempre più spesso risposte digitando il loro nome su Google, quali sono gli strumenti che abbiamo per tenere sotto controllo ciò che di noi risulta da una ricerca online? Sono la web reputation e il diritto all'oblio al tempo di Internet le questioni al centro della puntata del 13 aprile di “Presi per il Web“, trasmissione di Radio Radicale condotta da Marco PerducaMarco Scialdone e Fulvio Sarzana con la collaborazione di Marco Ciaffone e Sara Sbaffi. Ospiti dell'appuntamento Luigi Montuori, Capo Dipartimento comunicazioni elettroniche del Garante Privacy, Matteo Flora, Consulente ed ideatore del progetto "TheFool", Anna Masera, Capo Ufficio stampa della Camera dei Deputati, e Raoul Chiesa, storico hacker italiano ed esperto di sicurezza informatica. "L'esperienza che abbiamo maturato in questo ultimo decennio - ha esordito Montuori - ci porta a dire che in generale il mondo della rete ci richiede interventi su tre importanti aspetti, a noi come ai nostri colleghi europei nonché ai tribunali: il primo è quello degli archivi online dei giornali, perché scrivere una volta sulla carta stampata voleva dire che l'articolo veniva accatastato e la memoria era umana. Oggi, per fortuna, è possibile poter rivedere ciò che è stato scritto con un profondo approccio storico, una ricchezza che da un'altra parte pone delle questioni come quella del diritto all'oblio. Il secondo aspetto è quello dei social network. Il terzo aspetto è quello dell'utilizzo dei nostri dati personali immessi in rete a fini commerciali e di profilazione". Cancellare o aggiornare Sul primo degli aspetti sollevati da Montuori vale la pena menzionare alcuni importanti passaggi maturati in Italia e in Europa. Ad esempio, sul tema della deindicizzazione degli contenuti giornalistici dai motori di ricerca è netta la posizione espressa dall'Avvocato generale della Corte di Giustizia europeanel luglio 2013 e che si schiera a difesa della permanenza negli archivi storici della documentazione relativa a fatti di cronaca. Sul più ampio fronte giornalismo la situazione sembra essere ancor più complicata, con sentenze come quella che nel gennaio del 2013 vedeva il Tribunale di Ortona condannare il direttore del giornale online abruzzese Primadanoi.it al pagamento di un risarcimento nei confronti di alcuni ristoratori della zona. Una sanzione riferita ad un articolo riguardante un fatto di cronaca giudiziaria vero, ma che, a detta del tribunale, era rimasto online troppo a lungo, cagionando così un danno ai protagonisti della vicenda. Un episodio che faceva sollevare dubbi sulla possibilità che un tribunale decidesse in maniera arbitraria quale fosse il tempo consentito di permanenza online di una notizia. Sulla vicenda, ai tempi della prima sentenza del 2011, aveva preso posizione anche l’ordine dei Giornalisti d’Abruzzo, sul cui sito ufficiale il 26 marzo si leggeva:: "La sentenza [...] pone seri problemi ai giornalisti nell’esercizio del diritto di cronaca . L’articolo in questione, peraltro, secondo anche il parere del Garante per il trattamento dei dati personali, era stato redatto rispettando i criteri fondamentali del codice deontologico dei giornalisti (verità sostanziale dei fatti, interesse pubblico e continenza nel linguaggio). Se i giornali cartacei possono conservare nei loro archivi copie dei giornali pubblicati non si capisce perché i giornali on line non debbano avere la stessa possibilità. Del resto, anche volendo cancellare i dati digitali di una notizia essa rimane indelebilmente presente nelle memorie cache dei motori di ricerca ( feed Rss). Il problema, allora, non è di semplice risoluzione giudiziaria ma occorrerebbe, invece, per il reale esercizio del diritto all’oblio, che il legislatore stabilisca criteri certi e condivisi e non solo a livello nazionale data la complessità della materia e la sua natura globale”. Molto distante dalla decisione del tribunale abruzzese è l'impostazione emersa dalla Corte di Cassazione con la sentenza 5525dell'aprile 2012. La suprema Corte entrava a gamba tesa sul tema del diritto all’oblio, stabilendo che è un dovere dell’editore o comunque del gestore/responsabile di un database Web tenere aggiornati i materiali relativi a procedimenti giudiziari per garantire il diritto alla contestualizzazione dell'informazione. Il caso era quello di un politico che, coinvolto in Tangentopoli ma successivamente assolto, reclamava la rimozione o quantomeno la modifica dell’articolo del Corriere della Sera che parlava del suo caso di imputazione. La Cassazione riteneva lecita la permanenza online dell’articolo ma obbligatorio il suo aggiornamento, così da tutelare sia l’immagine della persona coinvolta che il diritto ad essere informati del lettore. Un'impostazione che veniva recepita nel marzo 2013 anche dal Garante della Privacy e che nel settembre dello stesso anno vedeva esprimersi in tal senso anche la Corte europea dei diritti dell'uomo. "È importante - ha chiosato Montuori - differenziare il diritto all'oblio e il diritto alla contestualizzazione della notizia. Sul primo aspetto, ad esempio, una persona condannata e che ha espiato la sua pena ha diritto ad utilizzare il codice sulla protezione dei dati personali e chiedere che la notizia venga quanto meno deindicizzata. Sul secondo aspetto, immaginiamo un cittadino che viene invece indagato e poi prosciolto e che si ritrova con la notizia del suo essere finito sotto indagine ancora in circolazione senza che si dia conto della conclusione per lui felice della vicenda. Ecco, in questo caso il cittadino, e proprio a fronte della sentenza della Cassazione dell'aprile 2012, ha il diritto di richiedere un richiamo ai fatti successivi. Nel caso in cui il giornale si rifiutasse di fare gli aggiornamenti dovuti ci si può rivolgere al Garante". Anche qui resta da capire quali siano gli oneri in capo all'editore, se sia cioè suo compito tenere aggiornati gli archivi con un'onerosa opera di costante monitoraggio o se debba attivarsi solo dopo la segnalazione rischiando sanzioni solo in caso di inottemperanza. "Mi rendo conto - ha affermato Montuori - che ci sia un onere nei confronti di chi gestisce gli archivi dei giornali online, c'è uno scotto che deve pagare colui che inserisce le notizie ma tutto sommato è il male minore rispetto al diritto che ognuno di noi ha a vedersi rappresentato in maniera corretta in rete". "Non dimentichiamoci  - è intervenuto Flora - dell'importanza delle sezioni dei commenti dei giornali online, all'interno delle quali si nascondo spesso molti contenuti diffamanti. In ogni caso le aziende e i privati hanno capito lo straordinario valore di ciò che si dice online su di loro, e se qualche anno fa gli utenti erano pochi e poco influenti, oggi la situazione è ribaltata. È per questo che chi si rivolge a noi lo fa per avere un supporto professionale per vedere rimosse informazioni che impattano sulla sua immagine, anche professionale". Un problema di indexing È chiaro in ogni caso come la permanenza dei contenuti negli archivi dei giornali e la loro rintracciabilità a mezzo motore di ricerca siano due aspetti fortemente intrecciati tra loro; inoltre, sempre più spesso arrivano agli amministratori dei search engine, Google su tutti, richieste come quella avanzata a più riprese dall'ex presidente della Federazione internazionale dell'automobile Max Mosley, che dopo essersi ritrovato al centro di uno scandalo per alcune fotografie che lo ritraevano in pose sadomasochiste con cinque donne in divisa nazista si è visto riconoscere, nel novembre del 2013, dal Tribunal de Grande instance di Parigi il diritto a vedere rimosse dai risultati di ricerca di Google il link a nove di quelle foto. Stesso esito, nel gennaio 2014, in un tribunale di Amburgo. Decisioni contestate da Google con il solito argomento del "non vogliamo essere i poliziotti del Web"e della mancanza di responsabilità diretta sui contenuti restituiti dal motore di ricerca; tuttavia la stessa compagnia di Mountain View nel giugno del 2011 aveva lanciato il servizio “Me on the Web”, che permette all'utente un più facile e diretto controllo dei risultati che il search engine restituisce in merito al proprio nome. "Sul diritto all'oblio per ciò che attiene la stampa online - ha spiegato Montuori - partiamo dal presupposto che il criterio dell'interesse pubblico, che insieme alla veridicità del fatto rappresenta un cardine fondamentale del diritto di cronaca, può variare al passare del tempo; detto in altri termini, se oggi è interesse pubblico che si metta a conoscenza il cittadino di un determinato fatto di cronaca, non è detto che dopo quindici anni questo resti immutato. Il primo intervento del Garante sul tema risale al 2004, quando un signore che era stato condannato per pubblicità ingannevole dall'Agcm si rivolse a noi lamentando che le ricerche online col suo nome facessero riferimento a quella vicenda. Lì il Garante intervenì riconoscendo la veridicità del fatto ma che la continua esposizione dello stesso fosse eccessiva e ordinò pertanto la deindicizzazione della notizia stessa. Nel 2007 l'Autorità era inoltre intervenuta stabilendo che riutilizzare da parte di Google le copie cache era un trattamento operato dal motore di ricerca, visto che si trattava di informazioni già rimosse dal sito di provenienza degli stessi. Nel 2012 c'è stato un caso in Spagna che sta portando a riflessioni importanti in sede di Corte di Giustizia Europea sulla legittimità delle richieste che arrivano a Google per la rimozione dei dati personali". LEGGI "Questioni di eredità digitale" Tra Hackaton a Montecitorio e bug nell'https In apertura di puntata Anna Masera aveva parlato del Barcamp #Facciamolagenda che si è svolto alla Camera dei Deputati l'11 aprile e dell'Hackaton previsto sempre a Montecitorio dal 16 al 18 maggio.   In chiusura invece Raoul Chiesa ha spiegato i principali aspetti del grande fatto di cronaca della settimana in tema di sicurezza: Heartbleed, la falla nell'OpenSSL che ha terrorizzato gli utenti di Internet. In un'intervista a Wired Robin Saggelmann,  lo sviluppatore che l'ha introdotto nel protocollo, ha parlato di una banale svista presente da due anni. LEGGI "Hacker e politica: le tante facce del rapporto e la difficile definizione giuridica" LEGGI "Venti di (cyber)guerre: armi e strategie di difesa all'alba dei conflitti digitali" Immagine in home page: Cn24tv.it 14 aprile 2014
  • #Dataretention: problems and perspectives - Webinar, 16 maggio 2014

  • Conservazione dei dati nel Registro delle imprese: la Cassazione si rivolge alla Corte di Giustizia

    di Lorenzo Delli Priscoli Con ordinanza interlocutoria n. 15096 del 17 luglio 2015, la Cassazione ha proposto alla Corte di giustizia due questioni pregiudiziali ex art 267 TFUE, sospendendo il relativo giudizio. Le questioni involgono il trattamento dei dati personali che possono essere custoditi solo per il tempo necessario al conseguimento delle finalità per le quali sono stati acquisiti e successivamente trattati, secondo quanto previsto dall’art. 6, lett. e), della direttiva 46/95/CE attuata con d.lgs. n. 196/2003. Ci si chiede se tale disciplina debba prevalere sul sistema di pubblicità commerciale istituito con il registro delle imprese, pure di derivazione comunitaria, che prevede anche per le persone fisiche la conservazione dei dati rilevanti senza limiti di tempo e se, dunque, anche tali dati non debbano essere disponibili per un periodo di tempo limitato e in favore di destinatari determinati. Scopo della pubblicità commerciale è infatti quello di rendere noto oppure opponibile un certo fatto giuridico, al fine della sicurezza del mercato. Sulla premessa che solo il nucleo essenziale di ogni diritto fondamentale è insopprimibile, che anche gli interessi del mercato hanno una rilevanza tale da poter determinare una limitazione dei diritti fondamentali, il problema sottoposto alla Corte di Giustizia dalla Corte di Cassazione è dunque quello di come operare il corretto bilanciamento tra trasparenza dei traffici commerciali e il diritto fondamentale alla riservatezza e alla protezione dei dati personali. 21 luglio 2015
  • Data retention in UK, tutto da rifare

    di Monica Senor (via MediaLaws) Il 17 luglio 2014, a soli tre mesi della sentenza della Corte europea di Giustizia che dichiarava l’invalidità della Direttiva sulla data retention, nel Regno Unito veniva emanato il DRIPA (Data Retention and Investigatory Powers Act 2014), il quale prevede, alla sezione 1, che il Segretario di Stato possa, mediante una “retention notice” chiedere ad un fornitore pubblico di telecomunicazioni di conservare i dati di “relevant communications” qualora il Segretario stesso ritenga la richiesta necessaria e proporzionata al perseguimento di una o più tra le finalità di cui ai punti da a) a h) dell’articolo 22 (2) del RIPA (Regulation of  Investigatory Powers Act 2000). Detta sezione, titolata “Obtaining and disclosing communications data” prevede che i metadati di comunicazione possano essere ottenuti se necessari: a)     per interessi di sicurezza nazionale; b)    al fine di prevenire o individuare reati o di prevenire disordini; c)     per fini di benessere economico del Regno Unito; d)    per interessi di sicurezza pubblica; e)     per fini di protezione della salute pubblica; f)     al fine di valutare o riscuotere una tassa, un’imposta, o altra imposizione, contributo o tassa da versare ad un dipartimento governativo; g)     al fine di prevenire, in caso di emergenza, morte o lesioni o danni alla salute fisica o mentale di una persona; h)    per qualsiasi scopo specificato in un ordine del Segretario di Stato. Il DRIPA, ha modificato la lettera c) aggiungendo la clausola “nella misura in cui tali interessi sono rilevanti anche per gli interessi della sicurezza nazionale”. Lo scorso 17 luglio la High Court of Justice si è pronunciata sul ricorso proposto da Mr Brice e Mr Lewis, unitamente a due parlamentari inglesi, Mr Davis (conservatore) e Mr Watson (laburista), col supporto delle associazioni civili Open Rights Group e Privacy International, dichiarando la sezione 1 del DRIPA incompatibile col diritto comunitario, in particolare con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea in quanto:
    1. non prevede regole chiare e precise affinché l’accesso e l’utilizzo dei metadati sulle comunicazioni, conservati seguito a un “retention notice”, siano strettamente limitati allo scopo di prevenire e perseguire gravi e specificamente predeterminati reati o istruire  procedimenti penali relativi a tali reati;
    2. l’accesso ai dati non è sottoposto all’esame preliminare di un tribunale o di un organo amministrativo indipendente, la cui decisione limiti l’accesso e l’utilizzo dei dati a quanto strettamente necessario per il conseguimento dello scopo perseguito.
      L’ordine di disapplicazione del DRIPA è stato sospeso fino al 31 marzo 2016 per dare tempo al Parlamento di intervenire legislativamente sulle norme dichiarate illegittime e ferma restando la facoltà per il Segretario di Stato, convenuto in giudizio, di proporre appello. Le conclusioni a cui addiviene l’High Court vengono argomentate ripercorrendo passo a passo la legislazione europea e nazionale in materia di data protection e data retention, nonché la giurisprudenza della CEDU e della ECJ, con particolare attenzione alla sentenza Digital Rights Ireland, che ha dichiarato l’invalidità della Direttiva Frattini. Dei vari passaggi, mi soffermo solo su alcuni, su cui mi pare possa essere interessante fare qualche considerazione. La possibilità di impugnare una legge innanzi ad una Corte Al punto 4 della sentenza, l’High Court precisa un concetto che a noi giuristi di civil law pare quasi incredibile, ovverosia che gli atti del Parlamento del Regno Unito non sono impugnabili davanti ad un giudice. Nel caso di specie, tuttavia, la High Court si è ritenuta competente a decidere in quanto il giudizio di compatibilità del DRIPA è stato chiesto in relazione non al diritto interno, bensì al diritto comunitario. Sotto questo profilo il ricorso è stato considerato ammissibile in quanto, sottolinea la Corte, le decisioni della Corte di Giustizia sono vincolanti sia per i legislatori che per i tribunali di tutti gli Stati membri e la Carta dei diritti fondamentali è immediatamente applicabile ai sensi dell’art.6(1) del Trattato dell’Unione europea che riconosce ai diritti, alle libertà ed ai principi espressi nella Carta lo stesso valore legale dei Trattati. In un momento storico in cui l’idea politica di Unione europea viene fortemente messa in discussione, la constatazione che si stia progressivamente formando un diritto comunitario capace ed in grado di derogare a fondamentali principi di diritto interno costruendone di nuovi, è un solido tassello che conforta la speranza che l’Europa unita possa funzionare. La differenza tra retention e accesso Al punto 70, la Corte mette a fuoco una questione delicatissima, da pochissimi sino ad oggi rilevata: la differenza tra conservazione ed accesso. Secondo la Corte inglese, l’ECJ nella sentenza Digital Rights Ireland non ha stabilito che i fornitori di servizi di accesso sono tenuti a conservare esclusivamente i metadati di comunicazione relativi a persone sospettate o coinvolte nella prevenzione, nell’accertamento e nel perseguimento di reati gravi, quanto piuttosto che un regime generale di conservazione è illegale a meno che non sia accompagnato da un regime di accesso che fornisca garanzie sufficientemente rigorose per la tutela dei diritti dei cittadini di cui agli articoli 7 e 8 della Carta. Si tratta di un passaggio logico molto importante sotto il profilo dell’effettività della tutela dei cittadini europei. Infatti, se la protezione fosse declinata attraverso il divieto di conservazione dei metadati di traffico telefonico e telematico ad eccezione dei dati concernenti i cd. “serious crimes”, la tutela sarebbe, in concreto, inesistente in quanto materialmente le operazioni di retention sarebbero impraticabili data l’impossibilità di conoscere a monte chi commetterà i gravi reati. Distinguere la conservazione dei dati dall’accesso agli stessi consente, invece, di garantire ai cittadini un adeguato ed effettivo livello di protezione dall’ingerenza dello Stato nella loro vita privata. Parallelamente alla retention, infatti, secondo la Corte il potere di intrusione da parte dello Stato deve essere debitamente controllato mediante autorizzazioni all’accesso ai dati conservati dai fornitori rilasciate dall’Autorità giudiziaria o da organi amministrativi indipendenti. Seguendo la stessa pragmatica impostazione, la Corte, ai punti 94 e 95, spiega che il fatto che l’accesso e l’uso dei dati debba essere rigorosamente limitato allo scopo di prevenire e perseguire “precisely defined serious offences” non significa che l’accesso debba essere limitato ai dati di persone sospettate di aver commesso tali reati gravi atteso che, in alcuni casi, i dati di una persona del tutto innocente potrebbero contribuire alla individuazione di forme gravi di criminalità commesse da altri. La retention in sé interferisce con i diritti di cui agli articoli 7 e 8 della Carta Nonostante o, forse, proprio in virtù dell’assunto di cui al punto precedente, la Corte, al punto 84, specifica che la retention generalizzata finalizzata ad un potenziale futuro accesso costituisce di per sé un’interferenza con i diritti di cui agli articoli 7 e 8 della Carta e all’art. 8 della CEDU, a prescindere dal successivo, eventuale accesso ed utilizzo dei dati. A tal proposito, la Corte richiama espressamente il punto 29 della sentenza Digital Rights Ireland ed il punto 56 della sentenza Liberty v UK, in cui la Corte dei Diritti dell’Uomo ha osservato che telefono, fax e comunicazioni di posta elettronica sono ricompresi nelle nozioni di vita privata e corrispondenza di cui all’art.8 della CEDU e che l’esistenza di una legislazione che consente il monitoraggio segreto delle comunicazioni rappresenta una minaccia di sorveglianza generalizzata che mina la libertà di comunicazione tra gli utenti dei servizi di telecomunicazione ed implica di per sé una interferenza con l’esercizio dei diritti di cui all’art.8, indipendentemente dalle misure effettivamente adottate. Sono parole che colpiscono. Specie se le leggiamo nel contesto dello scandalo nostrano di Hacking Team, su cui vige l’assoluto silenzio in ordine ai casi, ai tempi ed ai modi di utilizzo (verosimilmente illecito) da parte dell’AISE e della Polizia giudiziaria del malware Remote Control System Galileo della società milanese. Del resto, parimenti sotto silenzio è passato l’art.4 bis del decreto antiterrorismo n.7/2015, introdotto con la legge di conversione n.43/2015, che ha disposto, in deroga all’art.132 del codice privacy e con buona pace della sentenza Digital Rights Ireland, un allungamento dei tempi di conservazione dei dati di traffico telefonico, telematico e delle chiamate senza risposta fino al 31 dicembre 2016. Davvero un colpo al cuore rispetto alla sensibilità mostrata dagli altri paesi dell’Unione europea in materia di data retention, come ben illustrato dall’australiana Leanne O’Donnell nel suo report sullo stato della data retention in Europa dopo la sentenza Digital Rights Ireland. Sebbene schematicamente, ricordiamo dunque che:
    • Austria, Germania, Bulgaria, Romania, Cipro, Slovenia, Repubblica Ceca ed ora anche il Regno Unito, hanno dichiarato incostituzionali le rispettive leggi di recepimento della Direttiva 2006/24/CE;
    • Danimarca, Paesi Bassi e Slovacchia hanno sospeso la retention dei metadati di traffico (la Slovacchia ha anche disposto la cancellazione dei dati precedentemente raccolti);
    • Finlandia, Spagna e Lussemburgo stanno revisionando la normativa interna per adeguarla ai principi affermati dalla ECJ;
    • Belgio, Polonia, Svezia, Ungheria, Irlanda e Svizzera hanno le rispettive leggi di recepimento under challenge.
      Italia non pervenuta.
    Striking a Balance among Security, Privacy and Competition. The Data Retention and Investigatory Powers Act 2014 (DRIP) 
    22 luglio 2015
  • Data retention, nel Regno Unito il primo sì alla nuova legge

    Il cammino del Data Retention and Investigatory Powers Bill, la nuova legge sulla conservazione dei dati in terra britannica, sta bruciando le tappe. Il testo ha infatti ricevuto poche ore fa l'approvazione, a larga maggioranza, della camera bassa del Parlamento d'oltre Manica, la House of Commons, e attende ora il passaggio in quella dei Lords, in un cammino spedito quanto foriero di preoccupazioni e polemiche. La legge mira sostanzialmente, come affermato dal premier David Cameron, a rimediare con una "norma d'emergenza" al vulnus normativo apertosi dopo la sentenza con la quale la Corte di Giustizia dell'Unione Europea nell'aprile scorso ha invalidato la Direttiva sulla Data retention nel Vecchio Continente. Si stabilisce così un obbligo di conservazione dei dati per 12 mesi in capo alle telco (a fronte dei 24 previsti nell'originaria norma comunitaria) e la loro messa a disposizione dell'intelligence locale. Per il Ministro degli Interni Theresa May si tratta di un'iniziativa senza la quale "si corre il rischio che gli assassini non vengano catturati, che i complotti terroristici passino inosservati, che i pedofili rimangano impuniti". Una serie di preoccupazioni che non mettono tuttavia la legge al riparo da pesanti dissensi; non ultime, le dure critiche nel metodo e nel merito arrivate da Edward Snowden, il whistleblower le cui rivelazioni sono alla base dello scandalo Datagate sulla sorveglianza massiccia e pervasiva operata dalla National Security Agency (Nsa) statunitense. Snowden, in una intervista rilasciata al Guardian, ha definito la nuova iniziativa britannica "molto simile" a quella che nel 2007 vide protagonista l'amministrazione Bush per l'introduzione del Protect America Act, un provvedimento d'emergenza sulla cooperazione tra agenzie di intelligence e operatori di telecomunicazioni. "I richiami a presunti pericoli ai quali è esposta la popolazione in mancanza di una nuova legge - ha affermato - sono gli stessi agitati negli Stati Uniti allora. La fretta con la quale si stanno approvando i provvedimenti nel Regno Unito sarebbe giustificabile solo nel caso in cui fossimo nel pieno di una guerra mondiale, sotto le bombe e con le navi nemiche in agguato". 16 luglio 2014
  • La Corte Europea dei Diritti dell’Uomo “censura” la data retention del CED

    di Francesco Mazara Grimani (via MediaLaws) Il Ced del Ministero dell’interno è una banca dati in uso alle Forze di Polizia italiane; è disciplinata dalla Legge n. 121 del 1981, che prevede, agli artt. 8 e ss., la tipologia di dati e le modalità organizzative di tale strumento, anche definito come Sistema Informativo Interforze della Direzione Centrale di Polizia Criminale. Nel Ced vengono quindi acquisite notizie risultanti da documenti conservati dalla Pubblica Amministrazione, da sentenze o provvedimenti dell’Autorità Giudiziaria, da atti concernenti l’istruzione penale o di indagini di polizia; possono essere altresì acquisiti anche dati in possesso di altri corpi di polizia di paesi UE. La finalità di tale raccolta è costituita dall’organizzazione e dalla pianificazione dei servizi d’ordine e di sicurezza pubblica. Per quanto concerne gli accessi ed i controlli, l’accesso al Ced è riservato ex art. 9 della Legge 121/1981 ad ufficiali ed agenti di pubblica sicurezza e di p.g. per le finalità sopra descritte, mentre il controllo ed il rispetto delle garanzie dei cittadini interessati è esercitato dal Garante per la protezione dei dati personali. Nei confronti del Ced possono essere inoltre realizzati due tipi di ricorso:
    1. mediante istanza al Tribunale di Roma, laddove il soggetto interessato venga a conoscenza di dati trattati in violazione delle leggi e dei regolamenti;
    2. mediante reclamo al Garante ex art. 141 dlgs 196/2003.
      Si tratta quindi di uno strumento di fondamentale ausilio all’attività di polizia giudiziaria e di prevenzione dei fenomeni di criminalità, ma che, proprio per la sua natura e soprattutto per la mole enorme di dati che possono essere acquisiti, può presentare diversi profili problematici soprattutto con riferimento alla tutela della riservatezza e della privacy. Infatti l’art. 6 della legge suddetta, che prevede le finalità di raccolta dei dati, è caratterizzato da una formulazione normativa molto generica: si parla infatti di finalità di tutela dell’ordine, di sicurezza pubblica, di prevenzione e repressione della criminalità, nonché di ricerca scientifica, tecnologica e di documentazione. Si tratta quindi di finalità molto ampie e non facilmente circoscrivibili, data anche la delicatezza del materiale raccolto. Inoltre, anche l’art. 7 comma 1, che individua la tipologia dei dati che possono essere acquisiti, si caratterizza per una formulazione normativa particolarmente sfumata. Ci si riferisce infatti non soltanto a provvedimenti e sentenze emesse dall’Autorità Giudiziaria – anche quindi sentenze di assoluzione e di proscioglimento – ma anche ad atti concernenti l’istruzione penale oppure atti relativi soltanto ad indagini di polizia. Il mandato dell’Autorità Giudiziaria è richiesto dal terzo comma soltanto per quanto riguarda operazioni o posizioni bancarie, senza che possa essere opposto il segreto da parte degli organi responsabili delle aziende di credito. In ultimo, ed è questo il profilo che qui maggiormente rileva, non è previsto un limite temporale massimo di conservazione dei dati, come invece accade per le banche dati del casellario giudiziale, oppure quella relativa ai carichi pendenti. Su questo ultimo aspetto, delle criticità potrebbero ravvisarsi alla luce della recente sentenza della Corte Europea dei Diritti dell’Uomo di Strasburgo, pronunciata il 18 settembre 2014. Tale decisione ha affermato il principio secondo cui una conservazione per un lasso temporale eccessivamente prolungato dei dati giudiziari – nel caso affrontato dalla Corte ci si riferiva ad una durata di conservazione di 20 anni – nonostante l’esito favorevole del procedimento penale nei confronti dell’interessato, viola i principi CEDU in quanto assimilabile ad una custodia indeterminata. Secondo la Corte, una siffatta conservazione costituisce un’ingerenza sproporzionata con il diritto dell’individuo al rispetto della sua vita privata, e non può essere considerata necessaria in una società democratica. 24 ottobre 2014
  • Striking a Balance among Security, Privacy and Competition. The Data Retention and Investigatory Powers Act 2014 (DRIP)

    di Guido Noto La Diega Abstract: Following the ECJ decision that declared the Data Retention Directive invalid, the Data Retention and Investigatory Powers Act 2014 (DRIP) has been enacted. It is not undisputable whether the DRIP gives more powers to the intelligence services at the detriment of both citizens’ privacy and freedom of enterprise or whether it simply clarifies the nature and extent of obligations that can be imposed on telecommunications service providers based outside the UK under Part 1 of the Regulation of Investigatory Powers Act 2000 (RIPA).