Accesso ai dati telefonici: garanzie per le chiamate in entrata
Provvedimento del 3 novembre 2005

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTA la normativa internazionale e comunitaria in materia di protezione dei dati personali (direttive nn. 95/46/CE e 2002/58/CE),

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il Libro V, titolo VI-bis (“Investigazioni difensive”), del Codice di procedura penale, inserito dall’art. 11 della legge 7 dicembre 2000, n. 397;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO:

Alcune segnalazioni pervenute a questa Autorità evidenziano questioni applicative riguardo ai limiti entro i quali i fornitori dei servizi di comunicazione elettronica accessibili al pubblico possono rispondere positivamente ad una richiesta di accesso a dati personali relativi a comunicazioni telefoniche in entrata (art. 8, comma 2, lett. f) del Codice).

Il Garante rileva la necessità di richiamare in proposito l’attenzione dei predetti fornitori e di impartire loro alcune prescrizioni tenendo conto della particolare delicatezza delle questioni esaminate.

1. Dati personali e cautele in caso di esercizio dei diritti
I dati relativi al traffico telefonico in entrata sono dati di carattere personale.

Si tratta di informazioni che pongono delicate implicazioni per gli interessati cui si riferiscono. I dati personali relativi alle comunicazioni telefoniche in entrata  possono, infatti, inerire non solo agli abbonati (o ai titolari di schede prepagate: cfr. art. 4, comma 2, lett. f), del Codice), ma anche ad altri soggetti (persone fisiche chiamanti o chiamate diverse dall’abbonato, quali ad esempio familiari, amici, membri di una comunità, dipendenti).

La delicatezza delle predette implicazioni ha riflessi anche sull’esercizio dei diritti da parte degli interessati. Tale esercizio è infatti soggetto a particolari cautele,  simmetriche ad altre garanzie previste per legge con riguardo alla diversa problematica delle chiamate di disturbo (art. 127).

Di regola, non è consentito rivolgersi al fornitore di un servizio di comunicazione elettronica per presentare ad esso, con riferimento ai dati telefonici, una delle varie istanze ai sensi dell’art. 7. In particolare, non è consentito ai dati identificativi di comunicazioni telefoniche in entrata.

In via di eccezione, tuttavia, le richieste di esercizio dei diritti possono essere presentate, ed evase positivamente, quando comprovano che la risposta ad esse da parte del fornitore è necessaria per evitare “un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397″ (art. 8, comma 2, lett.  f)).

L’esistenza di questo presupposto è necessaria per l’esercizio di uno qualunque dei diritti e per qualunque dato relativo al traffico telefonico in entrata (intendendosi per dato relativo al traffico telefonico “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione”: art. 4, comma 2, lett. h)).

Nel presente provvedimento viene peraltro presa in considerazione più specificamente la condotta che il fornitore deve seguire correttamente in caso di richiesta di accesso.

2. Garanzie rispetto al diritto di accesso
Il diritto di accesso a dati personali relativi a comunicazioni telefoniche in entrata non è di regola previsto ed è esercitabile soltanto in relazione a particolari esigenze probatorie nel contesto penale.

Poiché si configura come un’eccezione alla regola generale secondo cui l’accesso non è consentito, la disposizione in esame (art. 8, comma 2, lett. f)) deve essere applicata sulla base di una stretta interpretazione. La richiesta al fornitore è quindi legittima solo se è corredata da una motivazione che indichi l’intenzione di utilizzare i dati esclusivamente nell’ambito del procedimento penale (è, ad esempio, esclusa per una controversia civile o attinente alla volontaria giurisdizione).

Il richiedente deve altresì comprovare la necessità dell’accesso, documentando con idonei elementi al fornitore che il mancato accesso determinerebbe un pregiudizio effettivo  e concreto allo svolgimento delle investigazioni difensive ( l. 7 dicembre 2000, n. 397).

Il pregiudizio che il richiedente deve documentare deve essere non semplicemente ipotetico o potenziale, ma reale e specifico.

Il fornitore non può fornire positivo riscontro ad una richiesta dalla quale si desuma solo che la conoscenza dei dati di traffico telefonico in entrata -che talvolta sono già acquisiti dall’autorità giudiziaria nel procedimento penale- potrebbe essere semplicemente utile o funzionale al diritto di difesa.

Il fornitore deve munirsi anche di una dichiarazione sottoscritta personalmente dall’interessato richiedente (e/o dal difensore cui sia stato conferito il mandato per le indagini difensive), nella quale il dichiarante attesti, sotto la propria responsabilità, la veridicità di quanto prospettato e manifesti l’impegno a non utilizzare i dati per finalità e in ambiti non consentiti.

3. Le verifiche da parte del fornitore
Il fornitore del servizio deve esaminare la richiesta e accertare l’esistenza dei presupposti per l’accesso.

Nell’accertare la rispondenza delle richieste di accesso al dettato normativo, il fornitore del servizio deve verificare preliminarmente l’identità e la legittimazione dell’interessato richiedente.

L’accertamento va condotto, in ogni caso, con particolare scrupolo.

Se la richiesta è avanzata da soggetti non abbonati, o da titolari di schede pre-pagate di telefonia mobile occorrerà operare con una maggiore, specifica diligenza, nel riscontrare la pertinenza dei dati al soggetto richiedente. Analoga diligenza è necessaria nella considerazione del periodo temporale oggetto della richiesta dei dati di traffico telefonico nei casi in cui questa provenga da nuovi abbonati o da nuovi esclusivi utilizzatori di schede prepagate.

Spetta all’interessato richiedente indicare al fornitore tutti gli elementi utili per documentare la pertinenza dei dati al richiedente medesimo e per consentire una riscontro positivo alla richiesta. Deve essere fornita una descrizione anche sintetica, ma puntuale e concreta delle circostanze di fatto cui la richiesta si riferisce, corredata da una documentazione non generica.

Sebbene non sia indispensabile che il richiedente documenti anche il numero di repertorio di un procedimento penale, stante anche il fatto che le indagini difensive possono essere avviate lecitamente prima di tale procedimento e per l’eventualità che esso sia instaurato (art. 391-nonies c.p.p.), il fornitore deve essere posto in condizione di verificare che la richiesta sia adeguatamente motivata in merito all’esistenza del pregiudizio effettivo e concreto ad indagini difensive in corso.

Il fornitore non deve subordinare la risposta alla presentazione di una autorizzazione -non prevista- dell’autorità giudiziaria (art. 132, comma 3), né opporre un diniego indifferenziato ad ogni richiesta di accesso senza avere effettuato prima i necessari riscontri.

Se ne ricorrono i presupposti, il diritto di accesso può essere esercitato anche rispetto a dati personali comunque conservati ivi compresi quelli detenuti per obbligo di legge (art. 132, comma 3, del Codice).

Possono essere richiesti anche dati di traffico relativi a comunicazioni telefoniche diverse dalle chiamate, restando ovviamente esclusi i contenuti (in particolare, concernenti messaggi di testo del tipo Sms e Mms: cfr. art. 4, comma 2, lett. a) e b)).

La risposta, anche negativa, deve essere fornita all’interessato richiedente senza ritardo, e comunque non oltre il termine di legge di quindici giorni dal ricevimento della richiesta.

Nei casi in cui le operazioni necessarie per un integrale riscontro sono di particolare complessità, o ricorre altro giustificato motivo, va data comunicazione all’interessato entro il medesimo termine di quindici giorni e l’integrale riscontro va fornito entro trenta giorni dal predetto ricevimento (art. 146, comma 3).

L’interessato al quale non sia fornito riscontro o che riceva un riscontro ritenuto inidoneo può rivolgersi nei modi di legge, per l’esercizio del diritto di accesso, all’autorità giudiziaria o al Garante (art. 145 ss.).

Stante la necessità, posta per legge, di limitare l’accesso solo ai dati la cui mancata conoscenza comporta il predetto pregiudizio, è necessario che l’eventuale risposta positiva alla richiesta riguardi, salvo casi eccezionali che richiedono particolare prova e motivazione, solo i seguenti dati relativi alle comunicazioni entranti (numero del chiamante; data, ora d’inizio e tipologia della comunicazione; durata della chiamata).

I dati conosciuti in sede di accesso non possono essere utilizzati dal richiedente in ambiti diversi dal penale. Ogni diversa utilizzazione fuori del contesto dichiarato ne comporta l’insanabile inutilizzabilità (art. 11, comma 2 del Codice).

4. Sicurezza dei dati e delle notizie fornite dall’interessato richiedente
I fornitori devono trattare i dati e le notizie fornite dagli interessati richiedenti con l’adozione di particolari misure volte ad assicurare la loro conoscenza e conservazione con modalità equivalenti a quelle previste per legge per il trattamento dei dati di traffico (art. 123, comma 5).

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell’art. 154, comma 1, lett. c), del Codice, prescrive ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, in qualità di titolari del trattamento di dati personali, di adottare, nei termini indicati in motivazione, le misure necessarie ed opportune per rendere il trattamento di dati personali relativo a richieste di esercizio dei diritti dell’interessato in riferimento a comunicazioni telefoniche in entrata conforme alle disposizioni vigenti.

In particolare prescrive al fornitore di:

  1. accertare preliminarmente l’identità e la legittimazione dell’interessato richiedente;
  2. effettuare, sulla base degli elementi forniti dal richiedente, una verifica tesa ad accertare che la richiesta sia adeguatamente motivata in merito all’esistenza del pregiudizio effettivo e concreto ad indagini difensive in corso e, quindi, solo in tale circostanza, procedere alla comunicazione dei dati relativi al traffico telefonico entrante;
  3. munirsi di una dichiarazione sottoscritta personalmente dall’interessato richiedente (e/o dal difensore cui sia stato conferito il mandato per le indagini difensive), nella quale il dichiarante attesti, sotto la propria responsabilità, la veridicità di quanto prospettato e manifesti l’impegno a non utilizzare i dati per finalità e in ambiti non consentiti;
  4. dare riscontro alle richieste dell’interessato senza ritardo, e comunque non oltre il termine di legge di cui all’art. 146, commi 2 e 3 del Codice;
  5. trattare i dati e le notizie fornite dagli interessati richiedenti con particolari modalità volte ad assicurare la loro conoscenza e conservazione con modalità equivalenti a quelle previste per legge per il trattamento dei dati di traffico (art. 123, comma 5).

Roma, 3 novembre 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli