In questo blog parliamo di 'data retention', cioè dell'obbligo per gli operatori di telefonia di conservare i dati relativi al traffico telefonico di ogni utenza.
N.B. la data retention si riferisce all'obbligo di conservare i dati del traffico telefonico, non il contenuto del traffico telefonico. Il contenuto è soggetto alla disciplina delle intercettazioni. Di seguito vedremo anche delle convinzioni sulla data retention che sono piuttosto diffuse ma infondate perché riguardano le intercettazioni.
Dati conservati per quanto riguarda il traffico voce/SMS:
1) Comunicazioni vocali: numeri telefonici chiamanti e chiamati. Data, ora e durata delle chiamate. Vengono conservate anche le chiamate senza risposta. I numeri telefonici chiamanti sono presenti anche se sono stati oscurati con la nota stringa #31#. Il contenuto delle comunicazioni vocali non viene captato e conservato sistematicamente ma solo se la magistratura dispone l'intercettazione dell'utenza.
2) SMS: numeri telefonici mittenti e destinatari dei messaggi. Data e ora di invio o ricezione dei messaggi. I testi degli SMS non vengono captati e conservati sistematicamente ma solo se la magistratura dispone l'intercettazione dell'utenza.
3) Apparati utilizzati. Es. cellulare, telefono fisso, ecc. Per la telefonia mobile sono inclusi gli IMEI degli apparati e gli IMSI delle utenze.
4) Codici celle BTS per le utenze mobili (etichette di ubicazione). Per individuare i luoghi di invio e ricezione delle chiamate vocali e degli SMS.
Dati conservati per quanto riguarda il traffico internet:
1) Indirizzi IP delle connessioni ad internet. Attenzione: non sono gli IP di destinazione (cioè i siti internet visitati) ma gli IP di accesso delle utenze alla rete internet. Gli IP di destinazione non vengono captati e conservati sistematicamente ma solo se la magistratura dispone l'intercettazione dell'utenza. In assenza di intercettazioni gli IP di destinazione di solito vengono ricavati analizzando le memorie di telefonini, tablet, PC (es. recuperando i files cancellati connessi alle navigazioni in internet) e/o consultando le cronologie di navigazione memorizzate negli account Google/Apple e/o consultando le cronologie di navigazione memorizzate nei browser internet.
2) Servizi utilizzati es. POP/SMTP per le email, HTTPS per navigare, ecc.
3) Numeri telefonici delle utenze fisse o mobili che hanno avuto accesso ad internet e tipo di linea usata per la connessione (es. cablata DSL, rete mobile, ecc.).
4) Codici celle BTS per le utenze mobili (etichette di ubicazione). Per individuare i luoghi dove le utenze mobili hanno avuto accesso ad internet.
Tutto questo è riferito agli operatori italiani e alle utenze italiane. Per le utenze estere, inclusi i telefonini che circolano in Italia in roaming, i dati del traffico vengono conservati dai relativi operatori esteri secondo gli obblighi di quelle nazioni. Quindi, posto che siano noti il numero telefonico e/o l'IMSI dell'utenza, l'acquisizione del traffico di una linea estera richiede l'avvio di una rogatoria da parte dell'Autorità Giudiziaria italiana. Spesso l'IMSI viene ottenuto dalle Forze dell'Ordine avvicinandosi di nascosto al telefonino con un apparato portatile detto Stingray.
Terminiamo segnalando che l'Italia, con la legge 167/2017, impone agli operatori di telefonia una durata di conservazione dei dati smisurata: 6 anni. Sebbene una durata così estesa sia sfruttabile solo per indagini su alcune tipologie di reati, è in aperto contrasto con i principi di proporzionalità ribaditi dalla Corte di Giustizia Europea e dallo stesso Garante della Privacy italiano. Nella maggior parte delle altre nazioni europee il periodo di conservazione dei dati degli accessi ad internet è di 12 mesi. Mentre le chiamate non risposte vengono conservate 30 giorni.
Fonti e approfondimenti
Legal for digital: Data retention a fini di giustizia.
Ius in itinere: Data retention fra sicurezza e privacy.
Tutti i diritti riservati ai proprietari dei link.
