In questo blog parliamo di 'data retention', cioè dell'obbligo per gli operatori di telefonia di conservare i dati relativi al traffico telefonico di ogni utenza.
Una premessa importante: la data retention si riferisce all'obbligo di conservare i dati del traffico telefonico, non il contenuto del traffico telefonico. Il contenuto è soggetto alla disciplina delle intercettazioni. Di seguito vedremo anche due convinzioni sulla data retention che sono piuttosto diffuse ma infondate perché riguardano le intercettazioni.
Dati conservati per quanto riguarda il traffico voce/SMS:
1) Comunicazioni vocali: numeri telefonici chiamanti e chiamati. SMS: numeri telefonici mittenti e destinatari dei messaggi. Per quanto riguarda le comunicazioni vocali vengono conservate anche le chiamate senza risposta. I numeri telefonici chiamanti sono presenti anche se sono stati oscurati con la nota funzione #31#.
2) Comunicazioni vocali: data, ora e durata delle chiamate. SMS: data e ora di invio o ricezione dei messaggi. La conservazione sistematica dei testi degli SMS è una convinzione diffusa ma infondata. I testi degli SMS vengono captati e conservati quando la magistratura dispone l'intercettazione dell'utenza.
3) Apparati utilizzati. Es. cellulare, telefono fisso, ecc. Per la telefonia mobile sono inclusi gli IMEI degli apparati e gli IMSI delle utenze.
4) Codici celle BTS per le utenze mobili (etichette di ubicazione). Per individuare i luoghi di invio e ricezione delle chiamate vocali e degli SMS.
Dati conservati per quanto riguarda il traffico internet:
1) Indirizzi IP delle connessioni ad internet. Attenzione: non sono gli IP dei siti internet visitati ma solo gli IP di accesso delle utenze alla rete internet.
2) Servizi utilizzati es. POP/SMTP per le email, HTTPS per navigare, ecc.
3) Numeri telefonici delle utenze fisse o mobili che hanno avuto accesso ad internet e tipo di linea usata per la connessione (es. cablata DSL, rete mobile, ecc.).
4) Codici celle BTS per le utenze mobili (etichette di ubicazione). Per individuare i luoghi dove le utenze mobili hanno avuto accesso ad internet.
N.B. La conservazione sistematica degli IP di destinazione (cioè i siti internet visitati) è una convinzione diffusa ma infondata. Gli IP di destinazione vengono captati e conservati quando la magistratura dispone l'intercettazione dell'utenza.
Tutto questo è riferito agli operatori italiani e alle utenze italiane. Per le utenze estere, es. i telefonini che circolano in Italia in roaming, i dati del traffico vengono conservati dai relativi operatori esteri secondo gli obblighi di quelle nazioni. Quindi, posto che siano noti il numero telefonico e/o l'IMSI dell'utenza, l'acquisizione del traffico di una linea estera richiede l'avvio di una rogatoria internazionale da parte dell'Autorità Giudiziaria italiana. Spesso l'IMSI viene ottenuto dalle Forze dell'Ordine avvicinandosi di nascosto al telefonino con un sofisticato apparato detto Stingray.
Terminiamo segnalando che l'Italia, con la legge 167/2017, impone agli operatori di telefonia una durata di conservazione dei dati smisurata: 6 anni. Sebbene una durata così estesa sia sfruttabile solo per indagini su alcune tipologie di reati, è in aperto contrasto con i principi di proporzionalità ribaditi dalla Corte di Giustizia Europea e dallo stesso Garante della Privacy italiano. Ad es. nella maggior parte delle altre nazioni europee il periodo di conservazione dei dati degli accessi ad internet è di 12 mesi. Mentre le chiamate non risposte vengono conservate 30 giorni.
Fonti e approfondimenti
Legal for digital: Data retention a fini di giustizia.
Ius in itinere: Data retention fra sicurezza e privacy.
Tutti i diritti riservati ai proprietari dei link.
