Dati del traffico: chi-conserva-cosa?

Interlex m.276 – di Andrea Monti

Il decreto-legge 354/03 contiene significative modifiche al DLgs 196/03 “Codice in materia di trattamento di dati personali”, del quale viene integralmente riscritto l’art. 132 (conservazione dei dati di traffico per altre finalità).

La vecchia formulazione della norma stabiliva, laconicamente, che  “fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione di reati, secondo le modalità individuate con decreto del Ministro della giustizia, di concerto con i Ministri dell’interno e delle comunicazioni, e su conforme parere del Garante”. Mentre il nuovo testo (molto più articolato) si compone di ben sei commi che, essenzialmente, allungano i tempi di conservazione dei dati di traffico fino a cinque anni, oltre a definire i criteri soggettivi, tecnici e procedurali per la conservazione e l’accesso.

Qui ci occupiamo specificamente del nuovo art. 132 comma 1 del DLgs 196/03 secondo cui, “fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione dei reati.”

L’identificazione dei dati di traffico rilevanti a norma del DL 354/03

Dal tenore letterale della norma si capisce che i “dati di traffico” dei quali è obbligatoria la conservazione sono esclusivamente quelli finalizzati alla fatturazione.  E dunque verrebbero esclusi i log dei servizi (come http, ftp, mail, news) che si trovano a un livello più alto dello stack TCP/IP (vedi “L’internet non è una rete”).

Si perviene a questa conclusione considerando che il comma 1 dell’art.132 del DLgs 196/03 richiama espressamente il comma 2 dell’art.123 dello stesso provvedimento, secondo cui “il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l’abbonato, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale.”

Però l’art.123 comma II va coordinato con la parte dell’art. 2 della direttiva 2002/58 che, alla lettera b, definisce dati relativi al traffico “qualsiasi dato sottoposto a trattamento ai fini della relativa fatturazione”..  In realtà la norma definisce il dato di traffico in relazione a due ambiti.  Quello della fatturazione, di cui si dice nel testo.  E quello della trasmissione di una comunicazione su una rete di comunicazione elettronica.  Che però, in questo caso, non rileva, in quanto l’art.123 comma 2 DLgs 196/03 fa esplicito riferimento ai trattamenti per sole finalità di fatturazione.

Nella normativa precedente non c’è  più l’elenco dettagliato dei dati (sono stati abrogati la direttiva 97/66/CE e il DLgs 171/98). Ma per capire la norma può avere senso “resuscitare” l’allegato alla direttiva 97/66 che individuava i dati il cui trattamento, ai sensi dell’art. 6, è finalizzato alla fatturazione  per l’abbonato ovvero ai pagamenti tra fornitori di reti in caso di interconnessione, vale a dire:

a) il numero o l’identificazione della stazione dell’abbonato;

b) l’indirizzo dell’abbonato e il tipo di stazione;

c) il numero dell’abbonato chiamato;

d) il numero totale degli scatti da considerare nel periodo di fatturazione;

e) il tipo, l’ora di inizio e la durata delle chiamate effettuate e il volume dei dati trasmessi;

f) la data della chiamata o dell’utilizzazione del servizio;

g) altre informazioni concernenti i pagamenti.

Ma fra i dati indicati dall’allegato alla direttiva 97/66, l’internet service provider può conoscere con ragionevole certezza, solamente quelli indicati nelle lettere d), e) e f), mentre gli altri sono al di fuori del suo controllo o irrilevanti a fini di fatturazione e quindi non trattati.

Appartiene alla prima categoria (dati fuori dal controllo dell’ISP) il numero dell’abbonato (lett. a)  visto che il servizio di accesso alla rete è di natura puramente logica e non prevede alcuna fruibilità del servizio basata sull’associazione univoca del numero chiamante all’abbonato.  Dunque, l’ISP non ha modo di sapere se il CLI utilizzato dal proprio cliente appartenga a quest’ultimo o a terzi, che ne consentono l’utilizzo.  L’unico ad avere il dato e a trattarlo a fini di fatturazione è l’operatore telefonico.

Anche l’indirizzo dell’abbonato (lett. b) art. 4) non è sempre disponibile all’ISP, come nel caso di servizi “alla Dino Sauro”.  Cioè sostanzialmente anonimi e basati solo sull’identificazione del numero chiamante (che non necessariamente coincide con quello del ”materiale utente” del servizio).

Il numero dell’abbonato chiamato (lett. c) e le altre informazioni relative al pagamento (lett. g)) sono del tutto irrilevanti visto che nel primo caso, il numero chiamato è sempre quello dell’ISP e nel secondo, non è l’ISP che gestisce la fatturazione diretta.

Ora, è chiaro che questo elenco non ha alcun valore precettivo dal punto di vista giuridico, ma tecnicamente individua in modo preciso quali sono i dati rilevanti quantomeno per i servizi di accesso e quindi non può essere ignorato.

Un ragionamento analogo può valere per i dati di traffico relativi ai servizi internet, sempre a condizione che siano soggetti a fatturazione specifica e differenziata da quella per il mero accesso alla rete).  E dunque dovrebbero essere conservati i dati  che identificano l’abbonato, il tipo di servizio utilizzato (web, posta, ecc.), data e ora della connessione, IP assegnato all’abbonato, IP raggiunti dall’abbonato, volume di dati generati.

Soggetti e servizi tenuti all’osservanza del provvedimento

Il problema interpretativo più serio, nella definizione di “dato di traffico trattato a fini di fatturazione” sta nel fatto che la normativa comunitaria e quella nazionale via via entrata in vigore trattano ancora (magari “inconsciamente”) i servizi di comunicazione elettronica come se fossero i vecchi “servizi di telecomunicazioni” cioè, sostanzialmente, fonia e trasmissione dati.

E’ quindi evidente che il DL 354/03 e le norme cui si richiama sono palesemente “ritagliate” sui fornitori di servizi di telefonia e ai carrier, ma con maggiori difficoltà sono applicabili agli ISP.

Tipicamente, infatti, questi ultimi non sono proprietari dell’infrastruttura fisica di trasmissione e la utilizzano per fornire servizi che, pur “appoggiandosi” sul trasporto di dati, hanno una fatturazione differenziata che prescinde, in molti casi, dalla “registrazione” dell’accesso.  Come nel caso di housing, hosting, posta elettronica, antispam, antivirus ecc. che, nella misura in cui non sono soggetti a fatturazione basata sul traffico, non sono vincolati agli obblighi di conservazione.

Per quanto riguarda la connettività la situazione è più articolata.

I servizi flat su linea dedicata non sembrano rientrare nell’ambito di applicazione dell’art. 132 del DLgs 196/03 perché, non essendo il corrispettivo rapportato alla durata della connessione o al volume di dati trasmessi, non è possibile parlare di “dati di traffico” trattati “a fini di fatturazione”.

Analogo discorso vale per i servizi in dial-up tramite rete commutata, considerato che i dati rilevanti li genera e custodisce l’operatore telefonico che raccoglie la chiamata e poi fattura direttamente in bolletta (mentre l’ISP fattura il solo canone per l’utilizzo della propria infrastruttura e del gateway verso l’internet).

L’obbligo sussiste, invece, per i servizi in dial-up su numerazione 702xx, nei quali l’ISP percepisce la reverse interconnection e dunque deve trattare i dati relativi alla durata della connessione per poter regolare i conti con il carrier.  Ma anche in questo caso è necessario effettuare un distinguo.

Come è noto, con la reverse interconnection il gestore telefonico “retrocede” all’ISP una percentuale del traffico telefonico generato da chi si collega a determinati archi di numerazione.  Dal punto di vista del gestore telefonico, è irrilevante se il titolare dell’utenza telefonica coincida o meno con l’abbonato dell’ISP.  Perché conta il fatto che un certo numero di telefono abbia generato traffico su una certa numerazione, a prescindere da chi si sia materialmente collegato ai servizi dell’ISP.

Siamo di fronte, quindi, a rapporti giuridici distinti e separati che non interferiscono fra loro.  Il primo intercorre fra gestore telefonico e abbonato ai servizi di telefonia per l’uso della linea telefonica.  Il secondo fra ISP e abbonato a servizi internet per navigazione, mail e via discorrendo.  Il terzo (al quale sono del tutto estranei sia l’abbonato al gestore, sia quello all’ISP) riguarda il gestore telefonico e l’ISP per la “spartizione” della bolletta.

Proviamo ora, in ipotesi, a metterci nella condizione di un ISP che deve applicare il DL 354/03 e dunque registrare i dati di traffico dei propri abbonati, cioè di chi ha sottoscritto un contratto con l’ISP in questione.

Se l’abbonato dell’ISP usa la propria linea telefonica, egli è contemporaneamente abbonato dell’operatore telefonico e dell’ISP. In questo caso la registrazione dei dati di traffico è a carico di entrambi e non sorgono particolari problemi.

Se, invece, l’abbonato dell’ISP si serve di una linea altrui (come nel caso di chi si connetta, usando proprie userID e password, da casa di amici, ad esempio) la situazione cambia sensibilmente perché i rapporti giuridici si separano e l’abbonato dell’operatore telefonico è persona diversa da quello dell’ISP.

In questo scenario, l’operatore telefonico registra i dati relativi alla chiamata telefonica e addebita gli scatti all’intestatario della linea.  Mentre l’ISP registra il collegamento, relativo ai servizi forniti, effettuato dal proprio abbonato (riconosciuto tramite userID e password) e il CLI del chiamante (con il quale non ha alcun rapporto giuridico e che, dunque, non può considerare “proprio” abbonato”).  In pratica,  “abbonato” ai sensi del DL 354/03 è il cliente dell’ISP e non il titolare della linea (che è abbonato del gestore telefonico).

Considerato che la reverse interconnection è quantificata sulla base del traffico generato su una linea, e non dai servizi che ci passano sopra, l’ISP tratta a fini di fatturazione i dati della linea chiamante che però, non essendo intestata al proprio abbonato connesso, non rientra nelle ipotesi del decreto.  E quindi non scatta l’obbligo di conservazione per trenta più trenta mesi. Tratta invece i dati relativi alla chiamata che però arriva da un soggetto con il quale non ha alcun rapporto giuridico.  E dunque non è obbligato a conservare questi dati. D’altra parte non è possibile sostenere l’esistenza di un contratto concluso “al momento”, perché mancano gli elementi essenziali di un contratto come, per lo meno, la volontà dell’intestatario dell’utenza telefonica di intrattenere un rapporto giuridico con l’ISP e la consapevolezza sul contenuto dell’obbligazione.

L’aspetto paradossale della situazione creata dal DL 354/03 è che, in rapporto ai servizi internet, l’obbligo di conservazione per gli ISP si configura a seconda della tipologia di commercializzazione dei prodotti.  Se housing, hosting, mail e via discorrendo sono fatturati a canone fisso, non c’è obbligo di conservazione.  Se gli stessi servizi sono fatturati a tempo o a volume i dati di traffico vanno conservati.  E’ facile immaginare che, se questo decreto legge dovesse essere convertito così com’è,  gli ISP dovranno rivedere profondamente la propria offerta commerciale.  O addirittura, valutare la possibilità di uscire da questo mercato.  Il che per certi versi favorirebbe anche l’opera degli investigatori che avrebbero così a che fare con un numero ridotto di interlocutori.  Ma non farebbe certo bene al sistema-paese.

Possibly Related Posts:


Leave a Reply

Your email address will not be published. Required fields are marked *