Dopo quella del Garante Privacy italiano, è arrivata anche la bocciatura del Garante Privacy europeo, perché il termine dei 6 anni per la conservazione dei dati è eccessivo. “È un grave errore la legge sulla Data Retention fino a 6 anni in vigore in Italia, perché incompatibile con i valori europei. Ho invitato il Legislatore italiano a riflettere ancora sul tema con la speranza di una modifica”, ha detto Giovanni Buttarelli rispondendo a una domanda di un europarlamentare al termine della presentazione della relazione annuale dell’European Data Protection Supervisor illustrata questa mattina davanti alla Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo. “Il 2018 è stato l’anno più importante per la protezione dei dati personali nell’Ue grazie alla piena entrata in vigore del GDPR”, ha iniziato così Buttarelli la lettura della relazione, “in questo modo l’Ue si pone come leader mondiale nella definizione dei parametri per una crescita digitale responsabile”, ha aggiunto il Garante Privacy europeo.
Cosa prevede la norma italiana sulla Data Retention?
La norma sulla conservazione dei dati impone agli operatori di telecomunicazioni di conservare i metadati (non le conversazioni) di traffico telefonico e telematico per 6 anni. La legge è stata approvata l’anno scorso dal Parlamento italiano nel recepimento della direttiva europea sugli ascensori, in cui è stata inserita la norma che favorisce la sicurezza nazionale a discapito della privacy di tutti i cittadini. Il provvedimento ha ricevuto poi l’ok definitivo della Camera dei Deputati con l’approvazione della cosiddetta ‘Legge Europea 2017’, nella quale è contenuta la direttiva sugli ascensori.
Va specificato che per l’Italia, come per gli altri paesi europei si tratta di metadati, ovvero informazioni di dettaglio su numero del chiamante, numero del ricevente, data e durata della conversazione, frequenza delle chiamate e altro, mentre quanto alla navigazione Internet viene registrato ogni elemento della navigazione (indirizzo IP, siti visitati, device usato, durata della consultazione, pagine visionate, traffico e-mail).
È vero che si tratta di metadati, ma va tuttavia precisato che i soli metadata forniscono già una montagna di informazioni che qualunque sistema di analytics, ovvero un banale software di intelligenza artificiale anche modesto, potrebbe tracciare attraverso psico-profili e mappe di relazioni tali da cui dedurre una quantità enorme di informazioni sulle persone e sulla loro vita privata.
Nel dettaglio l’articolo 24 “fissa in settantadue mesi il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, al fine di garantire strumenti di indagine efficaci a fronte delle straordinarie esigenze di contrasto al fenomeno del terrorismo, anche internazionale”.
Il termine dei 72 mesi è stato introdotto con un emendamento presentato da Walter Verini (PD) con questa motivazione: “Dalle audizioni parlamentari la Procura nazionale antiterrorismo ha suggerito alla politica uno strumento ulteriore per prevenire e contrastare il terrorismo, questo è proprio una conservazione più a lungo termine dei dati del traffico telefonico e telematico”.
La norma è un unicum nell’Unione europea nella quale non c’è un provvedimento simile armonizzato per tutti i Paesi membri. Anche per questo motivo ha espresso la sua contrarietà Antonello Soro, Garante Privacy. “Se la minaccia di attacchi informatici è quotidiana diventa ancora più incomprensibile la decisione di aumentare fino a 6 anni la Data Retention, ignorando, non solo le sentenze della Corte di giustizia europea, ma anche il buon senso”, ha detto Soro, il 24 ottobre scorso, durante il convegno Privacy digitale e protezione dei dati personali tra persona e mercato svoltosi a Firenze.
Il Garante ha motivato nel dettaglio la preoccupazione per la protezione dei dati personali degli italiani: “Al giorno sono circa 5 miliardi i dati di traffico telefonico e telematico conservati dagli operatori e dagli Internet Service Provider e questa prassi di conservarli per 6 anni in modo indistinto andrebbe nella direzione opposta di proteggere la privacy del nostro Paese e dei cittadini”.
Infatti, più a lungo saranno presenti i dati nei server degli operatori di telecomunicazioni più aumenta il rischio di data breach (violazione dei dati personali), oltre gli alti costi che dovranno sostenere gli operatori per conservare, si spera in totale sicurezza, i dati numerici del nostro traffico telefonico (solo le telefonate, comprese quelle senza risposta) e i dati di navigazione su Internet.
Data Retention fino a 6 anni in Italia caso unico al mondo
Pensate, in Russia la Data Retention è fino a 6 mesi. In generale, la conservazione dei dati per ragioni di sicurezza è applicata in modo differenziato nei vari Paesi.
La Francia ha adottato un criterio unico, fissando la conservazione dei dati a 12 mesi. In Germania i dati vengono conservati per 10 settimane, quanto a traffico telefonico e navigazione in internet, mentre i dati sulla geolocalizzazione sono cancellati dopo 4 settimane. In Belgio si va dai 6 ai 9 mesi, in base alla gravità dei reati riscontrabili. Stesso criterio in Spagna, dove la norma è fissata a 12 mesi, che possono essere ridotti a 6 mesi o estesi a 2 anni, a seconda dei casi. In Australia si conservano i dati di traffico telefonico e internet per 2 anni.
Poi c’è il caso americano. In Usa l’argomento è scottante. La Nsa (National security agency) come è noto per prassi conserva i metadati del traffico internet dell’intero pianeta fino a 1 anno.
Dal quadro sommariamente descritto, emergono le due anomalie del quadro internazionale: quella russa, che conserva anche tutti i contenuti del traffico telefonico e internet, e quella americana, che può andare prevedibilmente oltre la soglia dei metadati in casi di sicurezza nazionale, a cui si limitano invece tutti i paesi europei.
Ai due casi estremi citati, si aggiunge l’anomalia italiana, ancor più pesante se si considera che la norma che fissa a 6 anni la conservazione dei dati è stata approvata sei mesi dopo la piena applicazione del Gdpr.
Dunque in Italia la conservazione dei dati è fino a 6 anni. Caso unico al mondo.