GDPR. Audizione dell’Associazione Italiana Internet Provider – AIIP


Associazione italiana Internet Provider in audizione congiunta di Camera e Senato circa la conservazione dei dati di traffico telefonico e telematico (Data-Retention) 

 

Il dott. Giuliano Claudio Peritore, attuale Presidente dell’ “Associazione italiana Internet Provider” – AIIP – ha fornito anch’egli il necessario contributo tecnico, frutto di oltre vent’anni di esperienza, sullo schema di decreto di armonizzazione della normativa nazionale al Regolamento comunitario sulla protezione dei dati personali: «L’Associazione Italiana Internet Provider, che ho l’onore di presiedere, si è costituita nel giugno 1995 come prima associazione di categoria del settore e conta attualmente circa cinquanta aziende iscritte, prevalentemente riconducibili ad un modello imprenditoriale».

AIIP offre, a tal riguardo, le sue proposte.

Le tematiche affrontate sono state sostanzialmente tre

1.      Il rapporto con l’autorità giudiziaria nella fornitura di informazioni relative al traffico telefonico e telematico oggetto di conservazione obbligatoria

 

Per quanto concerne il primo punto – sottoposto all’attenzione della Commissione congiunta di Camera e Senato – l’Associazione Italiana Internet Provider dà una prospettiva generale sul tema della cooperazione al contrasto alla criminalità organizzata online. Afferma l’avvocato Andrea Monti – delegato AIIP Data Protection in “EuroISPA: «Per quanto attiene ai rapporti con l’autorità giudiziaria, AIIP è sempre stata in prima linea nel rispetto della legalità e nella cooperazione con la magistratura ed i Servizi di informazione dello Stato, attività che gli Internet Provider svolgono da sempre con una forte motivazione. L’esperienza concreta dimostra che sussistono difficoltà di utilizzo da parte della polizia giudiziaria degli strumenti previsti dal Codice di procedura penale. Il che si traduce in richieste di accesso a dati ed esecuzioni di misure cautelari, a volte, purtroppo, non perfettamente in linea con le previsioni del Codice di procedura penale (assenza di delega alla notifica, assenza di autorizzazione all’uso di mezzi diversi dalla notifica a mano, atti inviati via PEC ma non firmati digitalmente, richieste di intercettazioni non corredate del provvedimento che le dispone ma soltanto del riferimento alla sua esistenza, esecuzione di oscuramenti in assenza dell’indicazione dell’esistenza di una proroga delle  indagini  preliminari): questo implica un allungamento dei tempi perché ogni volta siamo in condizione di dover interagire con gli uffici della procura e chiedere la verifica della sussistenza di una corretta base giuridica dei provvedimenti e questo inevitabilmente affligge le tempistiche dell’indagine».

 

Gli Internet Provider sono sempre stati attivi su casi importanti, l’ultimo dei quali è il “caso dei fratelli Occhionero”, relativo alla spy story esplosa con l’arresto dei fratelli Giulio e Francesca Maria Occhionero, accusati di aver avviato un’attività di cyberspionaggio: «Il caso “Occhionero” ha visto la richiesta di accesso diretto a dati ad alcuni associati e quindi la necessità di cooperare con la magistratura», afferma l’avvocato Monti.
Stiamo parlando dell’indagine su una campagna di cyberspionaggio condotta contro un gran numero di professionisti e politici italiani, il caso Eyepyramid, dal nome del software malevolo utilizzato: quei software – definiti spesso dagli inquirenti anche captatori informatici, agenti intrusori, virus autoinstallanti – utilizzati da anni dalle forze dell’ordine e dalle procure nel corso delle indagini. Di fatto sono software malevoli, spyware, software spia a tutti gli effetti: dopo aver infettato un dispositivo (smartphone, tablet, pc) sono in grado di accedere a tutta la sua attività (comunicazioni telefoniche, email, chat, foto, Skype, navigazione web, file), di scattare foto dello schermo, di attivare microfono e videocamere per effettuare intercettazioni ambientali; ai due fratelli erano stati contestati i reati di procacciamento di notizie concernenti la sicurezza dello Stato, accesso abusivo a sistema informatico aggravato ed intercettazione illecita di comunicazioni informatiche e telematiche.
Secondo l’accusa, i due avrebbero spiato la posta elettronica e siti di politici, istituzioni, pubbliche amministrazioni, studi professionali e imprenditori di livello nazionale.

 

Qual è la proposta, a tal riguardo, da parte degli Internet Provider, sottoposta alla Commissione per bocca dell’avv. Monti?

 

«La soluzione più efficiente – anche alla luce degli obblighi per gli operatori derivanti dal recepimento della Direttiva sull’ordine europeo di indagine penale di cui al D.lgs. 108/2017 e quelli di tracciamento elettronico derivanti dall’istituenda Procura Europea e con l’attuazione della Direttiva dell’Ordine investigativo europeo – sarebbe senz’altro quella di modificare il Codice di procedura penale per snellire, dematerializzandole, quelle procedure di comunicazione con gli operatori e di accesso ai dati la cui formalità è pensata per essere gestita essenzialmente in modo cartaceo. Ma non è questa, probabilmente, la sede per una riforma di questo genere e, dunque, come soluzione di compromesso. La proposta è pertanto – prosegue Monti – quella di ampliare la norma già inserita nella bozza di decreto che stabilisce l’inutilizzabilità dei dati acquisiti in violazione della normativa sul trattamento dei dati personali estendendo, in modo specifico, tale inutilizzabilità nei procedimenti penali dei dati raccolti dall’autorità giudiziaria in violazione delle regole formali stabilite dal Codice di procedura penale».

«In questo modo speriamo – conclude l’avvocato Monti su questo argomento – di ottenere un effetto didattico e pedagogico, su chi poi materialmente deve operare perché, sapendo di mettere a rischio l’indagine, sarà ancor più attento nel rispettare determinate formalità. Certo è che “il libro dei sogni” sarebbe dematerializzare integralmente i rapporti fra autorità giudiziaria e Internet Provider; ma, ripeto, siamo consapevoli che questo non può accadere se non altro in questo brevissimo arco di tempo».

 

2.      La durata di conservazione dei dati (Data-Retention)

Il secondo tema collegato alla precedente questione è quello della conservazione obbligatoria dei dati: c’è stata una norma che ha esteso la conservazione dei dati di traffico telefonico e telematico da 2 a 6 anni (72 mesi) per motivi di sicurezza.
Secondo l’avvocato Monti: «Si tratta innanzitutto di una norma fortemente discutibile sia dal punto di vista della tenuta di sistema, soprattutto alla luce della prima sentenza della Corte di Giustizia per la Comunità europea che ha stabilito che la “Data-Retention” identificata non è accettabile e va trovato un compromesso. Il compromesso quanto meno può essere quello di ridurne la durata soprattutto perché, in un modo o nell’altro, una norma che sia in contrasto con un “dictum” che arriva dell’alta Corte europea è candidata ad infrangersi nelle sentenze che dichiareranno poi i singoli procedimenti penali viziati da questo problema».

L’emendamento introduce modalità di trattamento dei dati di traffico telefonico e telematico in palese contrasto con l’ordinamento e con la giurisprudenza dell’Unione europea. E’ evidente che il contrasto al terrorismo rappresenti un obiettivo di interesse generale, pertanto non è in discussione la raccolta e la conservazione di dati, quanto i tempi di conservazione e le modalità di accesso agli stessi. Le norme e la giurisprudenza europea precludono una raccolta generale e indiscriminata dei dati di traffico telefonico e telematico, perché non è proporzionata alle esigenze investigative e al nucleo essenziale del diritto alla protezione dati e non può perciò essere giustificata in una società democratica.
Al contrario, gli Stati membri possono invece prevedere obblighi di raccolta dei dati per obiettivi specifici al solo fine di contrasto di reati gravi, purché siano limitati temporalmente in misura proporzionata alle esigenze investigative e riguardino le sole informazioni a ciò strettamente necessarie. L’acquisizione dei dati stessi, inoltre, deve ,secondo la Corte di giustizia, essere soggetta a specifiche condizioni, incluso il controllo da parte di un giudice o un’autorità indipendente.
Infatti, la Data-Retention limitata al traffico telefonico e telematico dei fornitori di servizi di comunicazione elettronica è solo una parte di un problema più vasto. Enormi moli di dati parimenti interessanti dal punto di vista investigativo ricadono soventemente in giurisdizioni non italiane o, comunque, fuori dall’ambito dell’emendamento.
La conservazione dei dati di traffico telefonico e telematico è uno strumento potente ma facilmente utilizzabile in modo distorto. È per tale ragione che diviene indispensabile che il suo utilizzo sia mediato cercando un punto di equilibrio fra esigenze di sicurezza e punti di libertà.

Qual è la proposta?

 

AIIP è, di conseguenza, favorevole alla richiesta che il Garante formula al Governo di espungere dal decreto attuativo GDPR la norma sul prolungamento della Data-Retention a 72 mesi per i dati di traffico telefonico e telematico.

Nel proprio parere sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679, il Garante sottolinea che “La conferma della predetta deroga determina rilevanti criticità […] in ordine al rispetto del principio di proporzionalità tra esigenze investigative e limitazioni del diritto alla protezione dei dati dei cittadini. In ragione della incompatibilità della deroga con il principio di proporzionalità … e al fine di garantire la piena conformità dell’ordinamento interno al diritto dell’Unione europea, si valuti l’opportunità di espungere […].

 

3.      Le interazioni tra il Regolamento sulla Privacy e l’attuazione di misure di sicurezza e intercettazione

 

Terza tematica affrontata, molto critica, riguarda le misure di sicurezza. Come dimostrano casi di cronaca recenti e passati, la possibilità di resistere a contagi, virus, malware, ransomware che cifrano i dischi rigidi delle vittime a scopo di estorsione richiede uno spostamento dell’approccio alla cultura della sicurezza informatica dalla difesa reattiva alla prevenzione: «Esistono le tecnologie che consentono questo tipo di misure di “difesa” ma l’adozione di queste tecnologie incontra un problema diffuso nell’interpretazione della giurisprudenza che è arrivata fino alla Corte di Cassazione: questo tipo di controlli costituirebbero i c.d. “controlli anelastici – dichiara Monti – ovvero strumenti astrattamente idonei ad incidere anche sulla libertà del lavoratore; questo significa da un punto di vista che c’è un problema di contrasto tra la necessità, peraltro imposta dalla legge, di adottare misure efficienti e soprattutto preventive – come vuole peraltro il regolamento sulla prevenzione dei dati personali e tutto il complesso sistema autorizzatorio che porta alla effettiva installazione di queste misure – ed il loro aggiornamento pratico. Problema che va dalle piccole aziende agli operatori telefonici, fino agli Internet Provider».

Quindi, l’attuale quadro normativo e giurisprudenziale e quello disegnato dalle prassi amministrative sono offuscati (almeno in sede di interpretazione) dalla sovrapposizione fra esigenze di protezione della rete pubblica di comunicazioni – atto obbligatorio ai sensi del Codice di comunicazioni elettroniche – e tematica dei controlli a distanza di cui allo Statuto dei lavoratori.

Alla luce di quanto sopra detto qual è la proposta dell’AIIP?

«Proponiamo di inserire una norma, nello specifico nell’articolo che si occupa del controllo dei lavoratori, che specifichi quando le misure di sicurezza sono adottate per finalità di protezione della rete pubblica di comunicazioni e dei dati personali, ma non rientra nell’ambito del controllo dei lavoratori (artt. 4 e 8 della Legge 300 del ’70) con un aggravio delle sanzioni in caso di abuso di questa facoltà», sostiene l’avv. Monti.
In altri termini, si è ipotizzata una sorta di bilanciamento: maggiore agilità nella gestione delle misure di sicurezza ma al contempo maggiore gravità delle sanzioni per quel datore di lavoro che dovesse abusare di questa facoltà che si auspica venga inserita nel decreto di armonizzazione e, conseguentemente, poter adottare misure di sicurezza con rapidità ed agilità che il contesto delle minacce odierno richiede, soprattutto se consideriamo che gli Internet Provider sono a tutti gli effetti parte del sistema delle infrastrutture critiche, un poco perché sono loro stessi delle infrastrutture critiche quindi, come tali, soggetti alla apposita Direttiva NIS (Network and Information Security) e  un poco perché operano per le infrastrutture critiche stesse, fornendo dei servizi che, per l’appunto, consentono, a centrali elettriche piuttosto che ospedali  o altri, di operare.
Pertanto: dare la possibilità agli Internet Provider di essere una parte attiva creando una “catena del freddo” nell’adozione delle misure di sicurezza informatica del Paese, cosicché ciascun attore sia obbligato a fare quanto di propria competenza.

 

Tale scelta ha il pregio di rendere più agile la gestione della sicurezza dei dati, tutelando nel contempo il lavoratore in termini diretti (i dati non possono essere utilizzati nei suoi confronti) e indiretti (il Garante per la protezione dei dati personali e le autorità competenti possono sempre rilevare, in sede ispettiva, l’uso eccedente di questi dati e sanzionare di conseguenza il titolare del trattamento che ha abusato delle misure di sicurezza).

 

L’intervento dell’Avvocato Andrea Monti termina con due annotazioni

  • RIPARTIZIONE DEGLI OBBLIGHI DI ADOZIONE DI MISURE DI SICUREZZA FRA “GESTORE DI RETE PUBBLICA DI COMUNICAZIONI” E “FORNITORE DI SERVIZI DI COMUNICAZIONE ELETTRONICA”L

    a bozza di decreto utilizza sistematicamente il termine “fornitore di servizi di comunicazione elettronica”; in realtà, esistono 2 soggetti diversi e questo ai fini dell’art. 132 ter e quater della norma. Le due figure sono: il “fornitore di rete pubblica” (che, fermi restando gli obblighi per gli abbonati e gli utenti di adottare autonomamente adeguate misure di sicurezza per proteggere le loro comunicazioni, “(…) informa i fornitori di un servizio di comunicazione elettronica accessibile al pubblico ai quali fornisce accesso alla propria rete, se sussiste un particolare pericolo concreto di violazione della sicurezza della propria rete, indicando, quando il pericolo concreto è al di fuori dell’ambito di applicazione delle misure che il fornitore di una rete pubblica di comunicazioni stesso è tenuto ad adottare a norma dell’articolo 132-ter, commi 2, 3 e 5, tutti i possibili rimedi e i relativi costi presumibili. Il fornitore di una rete pubblica di comunicazioni comunica le stesse informazioni al Garante e all’Autorità per le garanzie nelle comunicazioni e le rende disponibili tramite pubblicazione sulla pagina principale del proprio sito internet”); il “fornitore di servizi di comunicazione elettronica” “adotta, sui sistemi informatici, telematici e sulle infrastrutture sotto il suo diretto controllo, ai sensi dell’art. 32 del Regolamento, anche attraverso altri soggetti a cui sia affidata l’erogazione del servizio, misure tecniche e organizzative adeguate al rischio esistente”.
    Sono quindi 2 soggetti che, dal punto di vista giuridico, fanno due mestieri diversi e dal punto di vista pratico possono coincidere, nella misura in cui la singola azienda abbia richiesto le autorizzazioni per entrambe le attività ma, nell’essere destinatari di diritti e obblighi fanno due lavori diversi e questo è il motivo per cui nella norma l’AIIP ha proposto degli emendamenti che differenziano le responsabilità e i ruoli in funzione dello status giuridico dei singoli elementi.

  • NECESSITÀ DI UN APPROCCIO PEDAGOGICO CHE PUÒ TROVARE UNO SPAZIO IN QUESTO DECRETO NEI CONFRONTI DEGLI UTENTI.Il dato esperenziale dimostra ancora una volta che c’è una diffusa percezione dell’essere anonimi online, che si possa fare quello che si vuole perché non succede nulla. In parte è vero, sotto il profilo fattuale (perché gli uffici di polizia e gli uffici di procura non sono strutturati per poter indagare sulle centinaia o migliaia di casi di ingiuria, offese e quant’altro che quotidianamente vengono perpetrati), però è anche vero che è auspicabile e necessaria un’azione pedagogica che spieghi agli utenti che esiste l’articolo 27, comma 2 della Costituzione italiana – cioè che “la responsabilità penale è personale; questo vale anche se “uno manda a quel paese qualcun altro” tramite una pagina Facebook; infatti, riprendendo anche la recente sentenza della Corte di Giustizia, quest’ultima ha stabilito che l’amministratore di una pagina Facebook è responsabile quanto Facebook stesso di quello che accade nell’ambito di quello spazio elettronico.
    Perciò, recuperare questo aspetto pedagogico che spieghi ai consumatori ed ai cittadini che i principi di civiltà e responsabilità giuridica non sono abdicati perché si è dietro un monitor, può essere il miglio contributo ad abbassare il livello di contenzioso e far sì che le forze di polizia possano preoccuparsi di questioni maggiormente rilevanti.

L’illustrazione del contributo è stata affidata all’avvocato Monti, in rappresentanza dell’Associazione, al termine del suo intervento tecnico, corredato con proposte di modifica agli articoli in questione, contenute in una nota poi lasciata alla Commissione, dove l’AIIP ha ritenuto opportuno evidenziare puntualmente quali sono le proposte di richiesta di modifica delle norme in modo da facilitare anche la valutazione della Commissione.

 

Possiamo pertanto affermare che il GDPR, fin dalla sua pubblicazione nella Gazzetta Ufficiale della UE, nel 2016, ha posto questioni interpretative, alcune delle quali ancora da risolvere.

 

La Commissione specifica che la bozza di decreto non è frutto della Commissione bensì del Governo.