I Finanzieri del Nucleo Speciale Privacy di Roma hanno eseguito l'operazione 'Data Retention', effettuando 11 ispezioni presso altrettanti operatori di telecomunicazioni e service provider in tutta Italia, rilevando irregolarità in 9 casi. Si tratta di violazioni amministrative, ma il Garante dovrà valutare caso per caso situazioni ipotizzate di carenza alla sicurezza dei dati. In due casi il problema riguardava la retention.
I controlli sono stati effettuati su delega dell'Autorità per la privacy d'intesa con il Comando Unità Speciali della Guardia di Finanza, al fine di verificare che gli operatori telefonici e i provider Internet rispettino le norme sulla Privacy'.
Attraverso i dati sull'utilizzo del telefono e sulle abitudini di navigazione, ogni singolo individuo può essere 'classificato'. I dati sul suo comportamento usati per fornirgli un servizio migliore o sfruttati per proporgli offerte mirate o presentargli pubblicità legate ai suoi interessi.
Fare tutto ciò è lecito? In sede europea è imposto un consenso dell'utente. Anche in Italia ci sono limiti. In particolare, sono relativi proprio al trattamento dei dati di traffico telefonico e telematico, che consente agli operatori di disporre di una serie di importanti informazioni quali tra l'altro il numero chiamato, ora e data e durata del contatto nonché la localizzazione degli apparati degli utenti in caso dell'utilizzo di un telefono mobile.
La legge impone che tali informazioni, in continuo aumento anche per il diffondersi di smartphone e tablet, devono essere conservate dai provider per ventiquattro mesi (nel caso dei dati di traffico telefonico) e dodici mesi (dati di traffico telematico) per fini investigativi e di giustizia, a esclusiva disposizione degli organi inquirenti.
Il Garante ha stabilito con il provvedimento del 17 gennaio 2008 stringenti misure e accorgimenti che devono essere rispettati dai fornitori per garantire la sicurezza dei dati, e la loro automatica cancellazione al termine del periodo di conservazione previsto dalla legge.
L'operazione della Finanza mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali, nell'ottica di un bilanciamento tra le ragioni di giustizia e di sicurezza e l'interesse alla riservatezza della vita privata dei cittadini.
Il primo scopo, come si legge in un comunicato del Garante Privacy era quello di sensibilizzare gli operatori sulla data retention, prima che sottovalutassero il bisogno di rispettare la legge. Purtroppo, non solo per tale aspetto, il rischio di inadempienze è elevato. Tanto che, come detto, in nove casi sono state accertate e contestate violazioni amministrative al Codice della Privacy relativamente alla conservazione dei dati di traffico oltre i termini previsti (la retention appunto), alla mancata adozione delle misure minime di sicurezza e alla mancata adozione di alcune delle ulteriori misure di protezione prescritte dal provvedimento del Garante, quali l'uso di tecnologie di riconoscimento biometrico per selezionare l'accesso ai dati e la cifratura dei dati.
Due, in particolare, le segnalazioni al Ministero dello sviluppo economico per l'eventuale contestazione della violazione relativa alla mancata conservazione dei dati di traffico o alla loro conservazione per un tempo inferiore a quello previsto.
Per quanto riguarda l'ipotesi di reato per la violazione delle misure minime di sicurezza, il Garante dovrà valutare caso per caso, al di là dei profili sanzionatori, la congruità delle misure adottate nonché la liceità dei trattamenti con riferimento, in particolare, al profilo, emerso in taluni casi, del trasferimento all'estero dei dati.