Il Garante per la Privacy ha lanciato un monito a nome del Gruppo Articolo 29 (l’entità che riunisce le Autorità europee di protezione dati) nel quale si boccia il modo in cui la cosiddetta “Direttiva Frattini” sulla conservazione dei dati è stata applicata nei vari paesi membri. Tema del contendere, quindi, i dati del traffico telefonico e telematico nell’UE, questione del tutto spinosa per quanto concernente la tutela della privacy dei cittadini comunitari.
«Dal rapporto emerge un quadro complessivamente disarmonico, sia sul recepimento della direttiva da parte degli Stati membri, sia sulle specifiche disposizioni nazionali, che in alcuni casi risultano contrarie ai principi della direttiva stessa o gravemente manchevoli con particolare riguardo alle misure di sicurezza adottate». Secondo quanto indicato, la direttiva 2006/24 sarebbe diventata una sorta di deviazione con cui allontanarsi dai principi canonici di tutela della privacy, una deroga abusata che ha fatto perdere all’UE l’univocità di comportamento dei paesi membri sul tema.
Secondo quanto scaturito da una analisi del Gruppo Articolo 29 coordinata dall’Autorità italiana, la situazione si sarebbe ormai resa preoccupante: «I risultati mostrano che il periodo di conservazione nei diversi Paesi dell’Unione varia fra 6 mesi e 10 anni a seconda delle legislazioni nazionali; le categorie di dati conservati eccedono spesso quelle indicate nella direttiva, soprattutto per quanto riguarda i dati di traffico telematico che in taluni casi comprendono anche dati relativi ai contenuti delle comunicazioni (cosa espressamente vietata dalla direttiva stessa): ad esempio, alcuni provider conservano gli Url (indirizzi) delle pagine web visitate e le intestazioni (header) dei messaggi di posta elettronica. Le misure di sicurezza adottate, inoltre, non sempre sono idonee e, soprattutto per i provider di minori dimensioni, mostrano numerose lacune».
Di qui una serie di raccomandazioni che i Garanti europei hanno formalizzato per chiedere un intervento legislativo in grado di rettificare la 2006/24 (sul cui stato di attuazione è atteso a breve anche un rapporto della Commissione Europea probabilmente decisivo per far chiarezza in merito):
- si chiede alla Commissione di fissare un periodo unico e preferibilmente più breve, anche considerando che in molti Paesi il termine massimo di conservazione risulta inferiore al limite previsto dalla direttiva (24 mesi), che appare quindi inutilmente ampio
- si ricorda di non imporre obblighi ulteriori rispetto a quanto previsto dalla direttiva
- si raccomanda ai provider di adottare alcuni ulteriori accorgimenti (sistemi di “strong authentication”, registro dettagliato dei log di accesso, ecc.) e si propone uno schema pan-europeo per la consegna dei dati da parte dei provider alle autorità di polizia e giudiziarie così da facilitare e armonizzare gli interscambi ed anche le analisi statistiche
Photo credit: Redvers