Dipartimento giustizia

SIWEB

 

I dossier dei servizi e degli uffici della Camera sono destinati alle esigenze di documentazione interna per l'attività degli organi parlamentari e dei parlamentari. La Camera dei deputati declina ogni responsabilità per la loro eventuale utilizzazione o riproduzione per fini non consentiti dalla legge.

File: GI0302.doc

 

INDICE

Scheda di sintesi

Dati identificativi3

Struttura e oggetto  4

§      Contenuto  4

§      Relazioni e pareri allegati4

Elementi per l’istruttoria legislativa  5

§      Conformità con la norma di delega  5

§      Rispetto delle competenze legislative costituzionalmente definite  5

§      Compatibilità comunitaria  6

§      Incidenza sull’ordinamento giuridico  6

§      Impatto sui destinatari delle norme  6

Schede di lettura

Contenuto dello schema di decreto legislativo  9

§      Art. 1 (Definizioni)9

§      Art. 2  (Modifiche all’articolo 132 del Codice)10

§      Art. 3  (Categorie di dati da conservare per gli operatori di telefonia e di comunicazione elettronica)14

§      Art. 4  (Autorità di controllo ed informazioni di tipo statistico)15

§      Art. 5  (Sanzioni)16

§      Art. 6  (Disposizioni transitorie e finali)17

Schema di D.Lgs. n. 227

§      Recepimento della Direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006 , riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE   21

§      Codice di Procedura Penale (art. 407)48

§      L. 24 novembre 1981, n. 689. Modifiche al sistema penale. (artt. 1-28)51

§      D.Lgs. 30 giugno 2003, n. 196. Codice in materia di protezione dei dati personali  (artt. 4, 17, 123, 132, 154, 162, 166)72

§      D.L. 27 luglio 2005, n. 144. Misure urgenti per il contrasto del terrorismo internazionale (convertito in legge, con modificazioni, dall'art. 1, L. 31 luglio 2005, n. 155)84

§      L. 6 febbraio 2007 n. 13. Disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee - Legge comunitaria 2006 (art. 1)103

§      D.L. 31 dicembre 2007 n. 248. Proroga di termini previsti da disposizioni legislative e disposizioni urgenti in materia finanziaria (art. 34)105

Normativa comunitaria

§      Dir. 12 luglio 2002, n. 2002/58/CE. Direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)109

§      Dir. 2006/24/CE del 15 marzo 2006. Direttiva del Parlamento europeo e del Consiglio riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE   129

Documentazione

Garante per la protezione dei dati personali

§      Provvedimento 17 gennaio 2008  sulla sicurezza dei dati di traffico telefonico e telematico  (pubblicato in G.U. n. 30 del 5 febbraio 2008)151

 

 

Scheda di sintesi

per l’istruttoria legislativa

 

 

 

 

Contenuto

Lo schema di decreto legislativo in esame, composto da sei articoli ed attuativo della direttiva comunitaria n. 24 del 2006, reca talune disposizioni riguardanti la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

 

Nello specifico, mentre l'articolo 1 definisceil contenuto di talune espressioni ricorrenti nel provvedimento, il successivo articolo 2 novella l'articolo 132 del c.d. “Codice della privacy” (Decreto legislativo n. 196 del 2003), con particolare riferimento al periodo di conservazione dei dati inerenti il traffico telefonico e telematico da parte degli operatori di telefonia e di comunicazione elettronica.

 

L'articolo 3 individua, poi, le categorie di dati che devono essere conservati dai citati operatori e l'articolo 4 attribuisce al Garante per la protezione dei dati personali il compito di assicurare il rispetto delle disposizioni relative alle misure di sicurezza ed organizzative per la corretta conservazione dei dati.

 

Il successivo articolo 5 reca, invece le sanzioni amministrative riguardanti la violazione delle disposizioni concernenti la conservazione dei dati inerenti al traffico telefonico e telematico, mentre, l'articolo 6 prevede, da ultimo, talune disposizioni transitorie e finali.

Relazioni e pareri allegati

Lo schema di decreto legislativo in esame è accompagnato dalla relazione illustrativa del Governo e dalla relazione sull’analisi tecnico-normativa (ATN).

 

 

Conformità con la norma di delega

La delega al Governo per l’emanazione del decreto legislativo in esame è contenuta nell’articolo 1 della legge 6 febbraio 2007, n. 13 (legge comunitaria 2006) che inserisce la direttiva n. 24 del 2006, oggetto di recepimento da parte del provvedimento in esame,  nell’allegato B della citata legge comunitaria (cfr. quadro normativo).

 

Quanto ai criteri direttivi riferibili allo schema di decreto legislativo, la norma di delega non contiene specifici principi e criteri direttivi per il recepimento della direttiva in questione; trovano, quindi, applicazione solamente i criteri generali della delega definiti dall’articolo 2 della citata legge comunitaria che possono essere così sintetizzati:

 

-      l’attuazione dei decreti legislativi deve avvenire nell’ambito delle ordinarie strutture amministrative;

-      nel caso in cui la normativa interessi materia già disciplinata a livello legislativo, le modifiche devono aver riguardo alla normativa in vigore;

-      per assicurare l’osservanza delle disposizioni, possono essere previste sanzioni penali, nel caso in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti, o sanzioni amministrative;

-      eventuali nuove spese derivanti dall’attuazione dei decreti legislativi possono trovare copertura sul fondo di rotazione per le politiche comunitarie, nei limiti di un ammontare massimo pari a 50 milioni di euro;

-      qualora la direttiva da attuare incida su materia già disciplinata da decreto legislativo attuativo di direttiva, le modifiche devono essere apportate facendo riferimento a tale atto normativo;

-      nel caso in cui siano coinvolte diverse competenze, è necessario apportare tutte le forme di coordinamento necessarie

Rispetto delle competenze legislative costituzionalmente definite

Lo schema di decreto legislativo in esame interviene, in particolare, su talune disposizioni contenute nel c.d. “Codice della Privacy”, al fine di dare attuazione alle disposizioni comunitarie contenute nella direttiva 2006/24/CE.

Si tratta, quindi, di materia regolata da fonte legislativa primaria e rientrante nella competenza esclusiva statale ai sensi dell’articolo 117, comma 2, lettera l) della Costituzione.

Compatibilità comunitaria

Esame del provvedimento in relazione alla normativa comunitaria

Come precedentemente rilevato, lo schema di decreto legislativo in esame è attuativo della direttiva 2006/24/CE, relativa alla conservazione di dati nella fornitura di servizi di comunicazione elettronica accessibili al pubblico.

In particolare, la citata direttiva è volta ad armonizzare le disposizioni nazionali degli Stati membri in merito all’obbligo, da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico e di reti pubbliche di comunicazione, di conservare alcuni dati da questi generati o trattati, al fine di renderli disponibili in caso di indagine, accertamento e perseguimento di reati gravi, quali definiti dalle norme nazionali di ciascuno Stato.

Incidenza sull’ordinamento giuridico

Coordinamento con la normativa vigente

Il coordinamento con la normativa vigente è realizzato attraverso il ricorso alla tecnica della novellazione.

In particolare, gli articoli 2 e 4 dello schema di decreto legislativo in esame modificano espressamente gli articoli 132 e 154 del già citato “Codice della privacy”, mentre il successivo articolo 5 inserisce nel suddetto Codice il nuovo articolo 162 – bis, recante talune sanzioni amministrative per la violazione delle disposizioni concernenti la conservazione dei dati inerenti al traffico telefonico e telematico.

Impatto sui destinatari delle norme

Lo schema di decreto legislativo in esame è diretto, principalmente, nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico e di reti pubbliche di comunicazione, sui quali corre l’obbligo di conservare alcuni dati da questi generati o trattati, al fine di renderli disponibili in caso di indagine, accertamento e perseguimento di reati gravi.

.

 

Schede di lettura

 

Contenuto dello schema di decreto legislativo

Art. 1 (Definizioni)

L’articolo 1 individua una serie di definizioni, in parte (comma 1) riprendendole integralmente dall’art. 2 della direttiva 2006/24/CE e in parte (comma 2) rinviando a quanto già previsto dal Codice della privacy.

 

In particolare, oltre a confermare la definizione di utente (lett. a) «qualsiasi persona fisica o giuridica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, senza esservi necessariamente abbonata a tale servizio»), di identificativo dell’utente (lett. f) «identificativo unico assegnato a una persona al momento dell'abbonamento o dell'iscrizione presso un servizio di accesso Internet o un servizio di comunicazione Internet») e di chiamata senza risposta (lett. e) «la connessione istituita da un servizio telefonico accessibile al pubblico, non seguita da un’effettiva comunicazione, in quanto il destinatario non ha risposto ovvero vi è stato un intervento del gestore della rete», il decreto legislativo specifica i seguenti concetti:

-            traffico telefonico (lett. d): si tratta delle chiamate telefoniche fornite da un gestore di telefonia (incluse le chiamate vocali, di messaggeria vocale, in conferenza e quelle di trasmissione dati), dei servizi supplementari (inclusi l'inoltro e il trasferimento di chiamata), della messaggeria e dei servizi multimediali (inclusi servizi di messaggeria breve, servizi mediali avanzati e servizi multimediali);

-            dati relativi al traffico (lett. b): tutti i dati sottoposti a trattamento ai fini della trasmissione di una comunicazione o della relativa fatturazione, ivi compresi i dati per identificare l’abbonato;

-            dati relativi all’ubicazione (lett. c): qualsiasi dato che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione, ivi compresi quelli relativi alla cella da cui una chiamata di telefonia mobile ha origine o nella quale si conclude

 

Art. 2
(Modifiche all’articolo 132 del Codice)

 

L’articolo 2 novella l’art. 132 del codice della Privacy (d.lgs. 30 giugno 2003, n. 196).

 

Rinviando al testo a fronte che segue l’analisi complessiva delle modifiche apportate, si segnala in particolare:

 

§         che il riferimento alle chiamate senza risposta, ora contenuto nel primo comma - che assoggetta il trattamento di questi dati allo stesso regime delle chiamate con risposta (conservazione per 24 mesi), viene eliminato. Per tali chiamate viene individuata una disciplina autonoma, inserita nel comma 1-bis, in base alla quale i dati di traffico devono essere conservati per 30 giorni;

In merito si osserva che la formulazione del comma 1-bis fa erroneamente riferimento all’art. 132-bis del codice della privacy; tale articolo non è previsto né inserito dal provvedimento in commento.

 

§         che la conservazione dei dati relativi al traffico telematico viene imposta per 12 mesi, in luogo degli attuali 6;

 

§         che viene eliminato il regime speciale per le indagini in ordine a delitti particolarmente gravi o in danno di sistemi informatici (comma 2), con conseguente abrogazione del comma 4 - che disciplinava il necessario intervento in tali casi del giudice – e modifica del comma 5 in ordine alle cautele da osservare nella conservazione dei dati;

 

§         che viene abrogato il comma 4-bis relativo alla procedura d’urgenza attivata dal PM con successiva convalida del giudice.

 

Testo a fronte

D.Lgs. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali Art. 132 Conservazione di dati di traffico per altre finalità

 

Testo vigente	Schema di decreto legislativo n. 227
1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, sono conservati dal fornitore per ventiquattro mesi, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per sei mesi.	1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione.
	1-bis. I dati di cui all’articolo 132-bis relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.
2. Decorso il termine di cui al comma 1, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, sono conservati dal fornitore per ulteriori ventiquattro mesi e quelli relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati per ulteriori sei mesi per esclusive finalità di accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.	2. Abrogato.
3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all'articolo 8, comma 2, lettera f), per il traffico entrante.	3. Identico.
4. Dopo la scadenza del termine indicato al comma 1, il giudice autorizza l'acquisizione dei dati, con decreto motivato, se ritiene che sussistano sufficienti indizi dei delitti di cui all'articolo 407, comma 2, lettera a), del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.	4. Abrogato.
4-bis. Nei casi di urgenza, quando vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati relativi al traffico telefonico con decreto motivato che è comunicato immediatamente, e comunque non oltre ventiquattro ore, al giudice competente per il rilascio dell'autorizzazione in via ordinaria. Il giudice, entro quarantotto ore dal provvedimento, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati.	4-bis. Abrogato.
5. Il trattamento dei dati per le finalità di cui ai commi 1 e 2 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti ai sensi dell'articolo 17, volti anche a:	5. Il trattamento dei dati per le finalità di cui al comma 1 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti ai sensi dell'articolo 17, volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché a:
a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento di cui all'allegato B);	a) identica;
b) disciplinare le modalità di conservazione separata dei dati una volta decorso il termine di cui al comma 1;	b) soppressa;
c) individuare le modalità di trattamento dei dati da parte di specifici incaricati del trattamento in modo tale che, decorso il termine di cui al comma 1, l'utilizzazione dei dati sia consentita solo nei casi di cui al comma 4 e all'articolo 7;	c) soppressa;
d) indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui ai commi 1 e 2.	d) indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1.

 

 

Art. 3
(Categorie di dati da conservare per gli operatori di telefonia e di comunicazione elettronica)

 

L’articolo 3 individua le categorie di dati che gli operatori di telefonia e di comunicazione elettronica sono tenuti a conservare, riprendendo, a questo riguardo, le prescrizioni contenute nell’articolo 5 della direttiva comunitaria n. 24 del 2006.

 

Nello specifico, come precisato nella relazione illustrativa del provvedimento,  i dati elencati nel comma 1 dell’articolo in esame possono essere ricompresi nelle seguenti  categorie:

 

Ø      dati necessari per identificare la fonte di una comunicazione;

Ø      dati necessari per rintracciare e identificare la destinazione di una comunicazione;

Ø      dati necessari per definire la data, l’ora e la durata di una conversazione;

Ø      dati necessari per determinare il tipo di conversazione;

Ø      dati necessari per determinare le attrezzature di comunicazione degli utenti;

Ø      dati necessari per individuare l’ubicazione delle apparecchiature  di comuinicazione mobile.

 

Il successivo comma 2 dell’articolo 3 prende poi in considerazione l’eventualità che alla luce dell’evoluzione tecnologica sia necessario apportare talune  specificazioni  in merito ai dati sopra richiamati.

Al riguardo, il citato comma 3 attribuisce ad un apposito decreto del Presidente del Consiglio dei ministri o del Ministro per le riforme e le innovazioni nella pubblica amministrazione, da adottarsi di concerto con i ministri delle politiche europee, delle comunicazioni, dell’interno, della giustizia, dell’economia e delle finanze e sentito il parere del Garante per la protezione dei dati personali il compito di specificare i dati da conservare.

 

 

Art. 4
(Autorità di controllo ed informazioni di tipo statistico)

 

L’articolo 4 integra la disposizione del Codice della privacy relativa ai compiti del Garante (art. 154), aggiungendo una competenza in ordine al controllo del rispetto della disciplina sulla conservazione dei dati di traffico (comma 1, lett. a).

Inoltre, il comma 2 stabilisce che i fornitori di servizi di comunicazione debbano inviare ogni anno, entro il 30 giugno, al Ministero della giustizia una serie di informazioni che sarà poi cura del Ministero trasmettere alla Commissione europea per le finalità statistiche di cui all’art. 10 della Direttiva 2006/24/CE.

In particolare, si tratta di informazioni relative:

§         al numero di casi nei quali le autorità competenti hanno richiesto i dati relativi al traffico;

§         al tempo intercorso tra la memorizzazione dei dati e la richiesta da parte delle autorità competenti;

§         alle ipotesi in cui non sia stato possibile soddisfare le richieste.

Art. 5
(Sanzioni)

 

L’articolo 5 novella il Codice della privacy inserendovi l’articolo 162-bis, relativo alle sanzioni da applicare in caso di violazione delle disposizioni sulla conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

.

 

In particolare,

 

Riferimento normativo	Fattispecie	Sanzione
comma 1	Violazione art. 132, commi 1 e 1-bis	Sanzione amministrativa pecuniaria da 10.000 a 60.000 euro (triplicabile in ragione delle condizioni economiche del responsabile)
comma 2 (primo periodo)	Omessa o incompleta conservazione dei dati di cui all’art. 132	Sanzione amministrativa pecuniaria da 10.000 a 60.000 euro (triplicabile in ragione delle condizioni economiche del responsabile)
comma 2 (secondo periodo)	Assegnazione di indirizzo IP che non consente l’identificazione univoca dell’utente o abbonato	Sanzione amministrativa pecuniaria da 5.000 a 50.000 euro (triplicabile in ragione delle condizioni economiche del responsabile)

 

Ai sensi dell’art. 162-bis, comma 2 (ultimo periodo), le violazioni sono contestate e le sanzioni sono applicate dal Ministero delle comunicazioni, nel rispetto della legge n. 689 del 1981[1].

 

In ordine alla formulazione della disposizione si segnala che le violazioni di cui ai commi 1 e 2 appaiono di identica natura. Infatti, posto che tanto il comma 1 quanto il comma 1-bis dell’art. 132 individuano un obbligo di conservazione di dati, tali disposizioni possono dirsi violate (come previsto dall’art. 162-bis, comma 1) sia nel caso di violazione dell’obbligo di conservazione, sia nel caso di conservazione incompleta (art. 162-bis, comma 2).

Art. 6
(Disposizioni transitorie e finali)

 

L’articolo 6 contiene la clausola di invarianza finanziaria (comma 1) e fissa alcuni termini per l’efficacia delle disposizioni del decreto legislativo. In particolare:

§         3 mesi dalla data di entrata in vigore del decreto è il termine previsto per l’acquisto di efficacia del comma 1-bis dell’art. 132 del Codice della privacy che prevede la conservazione per 30 giorni dei dati relativi alle chiamate senza risposta (comma 3);

§         90 giorni dalla data di entrata in vigore del decreto è il termine entro il quale i fornitori dei servizi di comunicazione elettronica accessibili al pubblico che offrono servizi di accesso a Internet devono assicurare l’univocità degli indirizzi di protocollo internet (comma 5).

 

Il comma 3 dell’art. 6, infine, interviene sull’art. 6 del c.d. Decreto Pisanu (decreto legge 27 luglio 2005, n. 144, recante “Misure urgenti per il contrasto del terrorismo internazionale”) per abrogarne il comma 4.

 

Il comma 4 dell’articolo 6 prevede che sia un decreto del Presidente della Repubblica a definire le modalità ed i tempi di attuazione dell’art. 132 del Codice della privacy, anche in relazione alla determinazione e allocazione dei relativi costi, con esclusione, comunque, di oneri per il bilancio dello Stato.

 

Schema di D.Lgs. n. 227

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Relazione illustrativa

Nel marzo 2006 il Parlamento europeo e il Consiglio hanno adottato la Direttiva 2006/24/CE riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, di modifica della direttiva 2002/58/CE che ha disciplinato il settore delle comunicazioni elettroniche.

In particolare, la direttiva 2006/24/CE mira ad armonizzare le disposizioni degli Stati membri relative agli obblighi dei fornitori di servizi di comunicazione elettronica in materia di conservazione dei dati. L'obiettivo è quello di garantire le disponibilità dei dati per poter ricercare, accertare e perseguire eventuali infrazioni, stabilendo a tal fine le categorie di dati da conservare, ladurata della conservazione, le condizioni da rispettare per l'immagazzinamento dei dati conservati e i principi da rispettare in materia di sicurezza dei dati. La direttiva definisce in particolare:

·           le categorie di dati da conservare;

·           la durata della conservazione;

·           le condizioni da rispettare per l'immagazzinamento dei dati conservati;

·           i principi da rispettare in materia di sicurezza dei dati.

Orbene, alcuni di questi aspetti sono già disciplinati nel nostro ordinamento, infatti gli articoli 123 e 132 del decreto legislativo 196 del 2003, recante il Codice della privacy, provvedimento con cui, peraltro, si è provveduto a recepire nell'ordinamento interno la precedente direttiva 2002/58/CE, contengono una disciplina specifica e puntuale della conservazione dei dati relativi sia al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, che al traffico telematico, esclusi comunque i contenuti delle comunicazioni. In particolare, l'articolo 123, comma 2, del citato Codice prevede che i dati relativi al traffico, riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, e strettamente necessari a fini di fatturazione per l'abbonato, possano essere trattati dal fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale. L'articolo 132, come modificato dal decreto legge 27 luglio 2005, n. 144 convertito, con modificazioni, dall'art. 1, delle legge 31 luglio 2005, n. 155, al primo comma, statuisce che, fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico siano conservati dal fornitore per ventiquattro mesi, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, siano conservati dal fornitore per sei mesi.

Il comma successivo dell'articolo 132 stabilisce inoltre che, decorso tale termine, i dati telefonici in questione siano conservati dal fornitore per ulteriori ventiquattro mesi e quelli relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati per ulteriori sei mesi per esclusive finalità di accertamento e repressione di delitti particolarmente gravi (tra cui figurano l'associazione a delinquere di stampo mafioso e i reati di terrorismo), nonché dei delitti in danno di sistemi informatici o telematici.

Sulla materia è intervenuto anche Part 6 del Decreto legge 27 luglio 2005, n. 144 convertito, con modificazioni, dall'art. 1, delle legge 31 luglio 2005, n. 155 che, recando misure urgenti per il contrasto del terrorismo internazionale, ha sospeso, fino al 31 dicembre 2007, l'applicazione di ogni tipo di disposizione che preveda o consenta la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, imponendo la conservazione degli stessi da parte dei fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazioni elettronica finoalla predetta data. Da ultimo, il suddetto termine è stato prorogato al 31 dicembre 2008, dall'articolo 34 del decreto-legge 248/2007 recante "Proroga di termini previsti da disposizioni legislative e disposizioni urgenti in materia finanziaria", il cui disegno di legge di conversione (A.S.2013) è attualmente all'esame del Senato della Repubblica, a meno che non intervenga prima l'attuazione della direttiva 2006/24/CE.

Con il presente provvedimento si interviene su tale complesso assetto normativo ed in particolare sulle norme del "Codice della privacy", al fine di attuare le disposizioni della direttiva 2006/24/CE, con la precisazione che l'ambito dei reati in riferimento al cui accertamento è delimitata l'area di applicazione dell'obbligo di conservazione dei dati non è stato oggetto di specifico intervento, in quanto comunque desumibile dal sistema del diritto penale, conformemente a quanto era già previsto nella disposizione originaria del comma 1 dell'articolo 132 del codice in materia di protezione dei dati personali. Ciò, in quanto la limitazione dell'obbligo di conservazione statuita in precedenza dal comma 2 dello stesso articolo 132,di cui è prevista l'abrogazione nel testo in esame, ai soli delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale e ai delitti commessi in danno di sistemi informatici o telematici, rifletteva l'esigenza di limitare a questi l'eccezionale e ulteriore proroga del termine di conservazione disposta dall'art. 6, D.L. 27 luglio 2005, n. 144. Le nuove disposizioni escludono, invece, la proroga del periodo di conservazione dei dati e recependo le indicazioni contenute nell'articolo 6 della direttiva, ai sensi del quale i dati devono essere conservati per periodi non inferiori a sei mesi e non superiore a due anni dalla data della comunicazione, nel ribadire la distinzione già esistente nel citato articolo 132 del Codice, tra dati relativi al traffico telefonico e quelli relativi al traffico telematico, prevedono quali periodi di conservazione dei suddetti dati, rispettivamente, 24 mesi e 12 mesi.

Il decreto legislativo in commento, attuativo della delega contenuta nella legge comunitaria, è stato predisposto d'intesa con le amministrazioni interessate e sentendo in audizione le associazioni maggiormente rappresentative degli operatori economici di settore (Astel per gli operatori di telefonia fissa e mobile, Associazione italiana internet provider, Associazione ProviderIndipendenti, Confindustria-Servizi Innovativi e tecnologici per gli Internet Service Provider; e, su richiesta, i rappresentanti del "comparto dell'industria dei contenuti").

11 provvedimento si compone di n. 6 articoli, il cui contenuto viene di seguito illustrato.

L'articolo 1, reca le definizioni relative a: "identificativo dell'utente" e " dati relativi all'ubicazione", estendendo la nozione di "utente" anche alla persona giuridica (oltre che fisica) e ricomprendendo nei dati relativi al traffico anche quelli necessari ad identificare l'abbonato o l'utente. Vengono, inoltre, introdotte le nozioni di "traffico telefonico", di "chiamata senza risposta", "dati relativi al traffico" e "indirizzo di protocollo internet univocamente assegnato". Si chiarisce così che con il termine "traffico telefonico" (indicato nella direttiva, tecnicamente, come "servizio telefonico") si fa riferimento alle chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e quelle basate sulla trasmissione dati, nonché i servizi supplementari, la messaggeria e i servizi multimediali, purchè forniti da un gestore di telefonia. Per quanto riguarda le chiamate effettuate tramite i servizi di telefonia vocale basati su protocollo internet (VOIP), si è ritenuto che la natura del gestore influisca sulla natura del_. servizio, per cui il relativo traffico è definito di natura telefonica se lo stesso è fornito da un gestore di telefonia, viceversa, il traffico ha natura telematica qualora il gestore sia un internet service provider. Ciò rileva naturalmente ai fini della disciplina applicabile relativa al periodo di conservazione dei dati fissata nel successivo articolo 2.

Le "chiamate senza risposta", invece, si verificano ogniqualvolta la connessione istituita da un servizio telefonico accessibile al pubblico, non è seguita da un'effettiva comunicazione, in quanto il destinatario non ha risposto ovvero vi è stato un intervento del gestore della rete.

In particolare la definizione di indirizzo protocollo internet "univocamente assegnato" pone l'accento sulla necessità di una identificazione univoca dell'abbonato utente che effettua comunicazioni nell'ambito della rete pubblica. Il principio dell'univocità dell'assegnazione del protocollo Internet (IP), viene puntualmente ripreso anche nel contesto delle categorie di dati da conservare e requisiti di sicurezza per gli operatori di comunicazione elettronica.

L'articolo 2 disciplina il periodo di conservazione dei dati, modificando la normativa contenuta nell'articolo 132 del codice della privacy e rendendola conforme alle disposizioni dell'articolo 6 della direttiva, ai sensi del quale i dati devono essere conservati per periodi non

inferiori a sei mesi e non superiore a due anni dalla data della comunicazione. Pertanto, nel ribadire la distinzione già esistente nel citato articolo 132 del Codice, tra dati relativi al traffico telefonico e quelli relativi al traffico telematico, si prevedono quali periodi di conservazione dei suddetti dati, rispettivamente, 24 mesi e 12 mesi. Tale periodo non è prorogabile in quanto si superebbero, per quanto riguarda il traffico telefonico, i termini previsti nella direttiva: a tal fine viene contestualmente abrogato il comma 2 dell'articolo 132 del d.lgs 196/03 che, come sopra ricordato, prevede la possibilità di conservare i dati per un ulteriore periodo, per esclusive finalità di accertamento e repressione di delitti particolarmente gravi (tra cui figurano l'associazione a delinquere di stampo mafioso e i reati di terrorismo), nonché dei delitti in danno di sistemi informatici o telematici. Conseguentemente ed a fini di coordinamento, vengono abrogati anche i commi 4 e 4-bis contenenti la procedura applicabile nei casi indicati dal comma 2.

Per quanto riguarda il delicato tema delle chiamate senza risposta - i cui dati, come è emerso nel corso delle audizioni con gli operatori telefonici, sono trattati dalla maggior parte di questi ultimi solo in modo temporaneo, senza che ne venga effettuata alcuna archiviazione - viene disposto (art. 2, comma 1, lett. b) un termine breve di conservazione (trenta giorni); al riguardo si tenga presente che, come rappresentato dai rappresentanti delle forze dell'ordine che hanno partecipato ai lavori istruttori, attraverso queste chiamata (senza risposta), ad esempio l'invio del c.d. squillo telefonico ad altro apparecchio fisso o mobile, è possibile comunicare in codice e, soprattutto, provocare l'accensione di apparecchi elettrici o elettronici e, dunque, anche innescare esplosioni a distanza.

L'art. 2, comma 1 lett. d) modifica in particolare l'art. 132, comma 5 del Codice apportando talune necessarie modifiche di coordinamento derivanti dal presente decreto legislativo e prevedendo in particolare che le misure e gli accorgimenti a garanzia dell'interessato prescritti ai sensi dell' articolo 17 del Codice, siano "volti anche a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete" come, peraltro, richiesto dalla direttiva 2006/24/CE.

Al riguardo va segnalato che il Garante è già intervenuto sull'argomento con il provvedimento datato 17 gennaio 2008 in materia di "Conservazione dei dati di traffico: misure e accorgimenti a tutela dell'interessato in attuazione dell'articolo 132 del decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali" pubblicato sulla Gazzetta Ufficiale, Serie Generale n. 30 del 5 febbraio 2008.

Nell'articolo 3 si individuano le categorie di dati conservare per gli operatori di telefonia e di comunicazione elettronica, peraltro, già fissati in modo dettagliato nell'articolo 5 della direttiva. In particolare i dati sono riconducibili alle seguenti macrocategorie: i dati necessari per rintracciare             e identificare la fonte di una comunicazione, i dati necessari per rintracciare e identificare la destinazione di una comunicazione, i dati necessari per determinare la data, l'ora e la durata di una comunicazione, i dati necessari per determinare il tipo di comunicazione, i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature, i dati necessari per determinare l'ubicazione delle apparecchiature di comunicazione mobile.

All'art. 3, comma 2 viene, inoltre, previsto che al fine dell' adeguamento all'evoluzione tecnologica con apposito decreto del Presidente del consiglio dei Ministri, di concerto con il Ministro delle politiche europee, delle comunicazioni, dell'interno, della giustizia, dell'economia e delle finanze e della difesa sentito, in particolare, il Garante per la protezione dei dati personali, possano essere specificati, nell'ambito delle categorie di dati di cui alle lettere da a) ad f) del comma 1, i dati da conservare.

 

Nell'articolo 4, si dà attuazione agli articoli 9 e 10 della direttiva, individuando nel Garante per la protezione dei dati personali l'autorità preposta al controllo del rispetto delle disposizioni relative alle misure di sicurezza ed organizzative per la corretta conservazione dei dati.

Viene a tale scopo introdotta la modifica dell'articolo 154, comma 1, Lett. a) del Codice, volta all'estensione dei poteri di controllo del Garante alla conservazione dei dati di traffico.

Si introduce, inoltre, l'obbligo per i fornitori di servizi di telefonia e di servizi di comunicazione elettronica di inviare, entro il 30 giugno, al Ministero della giustizia, per il successivo inoltro alla Commissione Europea le informazioni relative al numero complessivo dei casi in cui sono stati forniti i dati relativi al traffico telefonico o telematico alle autorità competenti conformemente alla legislazione nazionale applicabile, al periodo di tempo trascorso fra la data della memorizzazione dei dati di traffico e quella della richiesta da parte delle autorità competenti, ai casi in cui non è stato possibile soddisfare le richieste di accesso ai dati.

Un apparato sanzionatorio, come previsto dall'articolo 13 della direttiva, completa la disciplina in commento, al fine di garantire l'effettivo rispetto delle importanti disposizioni di cui al presente decreto e di evitare da un lato l'indisponibilità dei dati di traffico per l'omessa o incompleta conservazione, sia come durata, sia come tipologia di dati conservati, dall'altro al fine di evitare i fenomeni di divulgazione illecita dei suddetti dati (di frequente e recente accadimento). Pertanto, l'articolo 5, al comma 1, introduce nel Codice l'art. 162 bis, prevedendo che, salvo che il fatto costituisca reato, la violazione degli obblighi di conservazione previsti dall'articolo 132, commi 1 e 1-bis (in particolare, l'omessa conservazione) comporta l'irrogazione (ai sensi dell'art. 166 del Codice, implicitamente richiamato) di una sanzione amministrativa pecuniaria da euro

10.000 ad euro 60.000, con possibilità di aumento della sanzione sino al triplo, qualora essa risulti inefficace in relazione alle condizioni economiche dei responsabili della violazione.

E', inoltre, prevista l'applicazione di una sanzione amministrativa per le violazioni derivanti da incompleta o irregolare conservazione dei dati ai sensi dell'art. 132 del Codice, da parte del Ministero delle comunicazioni ai sensi della legge 24 novembre 1981, n. 689. Nell'ambito della conservazione dei dati l'assegnazione di un indirizzo IP che non consenta l'identificazione univoca dell'utente o abbonato comporta l'applicazione della minore sanzione amministrativa pecuniaria da euro 5000 a 50.000.

Infine, nell'articolo 6 contenente le disposizioni transitorie e finali, oltre alle consuete formule relative all'assenza di oneri a carico del bilancio pubblico, si prevede al comma 3 una disciplina transitoria esclusivamente per la conservazione dei dati di traffico relativi alle chiamate senza risposta, la cui entrata in vigore, per problemi di adeguamento tecnologico segnalati dai fornitori, è differita di tre mesi decorrenti dall'entrata in vigore del presente decreto.

Il comma 4 del medesimo art. 6 prevede, inoltre, l'abrogazione dell'articolo 6, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dall'articolo 1 della legge 31 luglio 2005, n. 155.

Il comma 5 prevede, infine che i fornitori di servizi di comunicazione elettronica (Internet Acces Provider) entro 90 giorni dalla entrata in vigore del decreto assicurano la disponibilità e l'univocità degli indirizzi di protocollo già assegnati o già in uso.

RELAZIONE TECNICO-NORMATIVA

 I. Aspetti tecnico-normativi in senso stretto.

a.         Necessità dell'intervento normativo.

 

Come indicato nella relazione illustrativa, il presente intervento normativo si rende necessario per dare attuazione alla direttiva 2006/24/CE, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

 

In particolare, tale direttiva ha lo scopo di armonizzare le disposizioni previste dagli ordinamenti degli Stati membri sugli obblighi in materia di conservazione dei dati che fanno capo ai fornitori di servizi di comunicazione elettronica. A questo proposito, la direttiva in esame definisce le categorie di dati da conservare, la durata della conservazione, le condizioni da rispettare per l'immagazzinamento dei dati e i principi da rispettare in materia di sicurezza dei dati.

b.         Analisi del quadro normativo.

 

La materia interessata dal decreto legislativo di recepimento della direttiva 2006/24/CE è già disciplinata dagli artt. 123 e 132 del Codice della privacy (Dlgs n. 196/2003), i quali recepirono la direttiva 2002/58/CE, concernente il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche. La disciplina dettata dai predetti articoli è stata in parte sospesa fino al 31 dicembre 2007 dall'art. 6 del decreto legge n. 144/2005, convertito con modificazioni dalla legge n. 155/2005, recante misure urgenti per il contrasto del terrorismo internazionale.

c.         Incidenza delle norme proposte sulle leggi e sui regolamenti vigenti.

 

Lo schema di decreto legislativo in esame integra la disciplina contenuta nel decreto legislativo n. 196/2003.

d.         Analisi della compatibilità dell'intervento con l'ordinamento comunitario.

Com'è stato specificato in precedenza, il provvedimento in esame attua la direttiva 2006/24/CE.

e. Analisi della compatibilità con le competenze delle regioni ordinarie ed a statuto speciale.

 Il provvedimento de quo non incide su materie di competenza regionale.

 

f. Verifica della coerenza con le fonti legislative primarie che dispongono il trasferimento di funzioni alle regioni ed agli enti locali.

Come precisato alla lettera precedente, il provvedimento non interferisce con competenze regionali, trattandosi di materia di competenza esclusiva dello Stato.

 

g. Verifica dell'assenza di rilegificazioni e della piena utilizzazione delle possibilità di delegificazione.

Non sono presenti rilegificazioni e non è possibile utilizzare strumenti di delegificazione atteso che il provvedimento in questione è un decreto legislativo di recepimento di una direttiva comunitaria che va principalmente a modificare alcuni articoli del Codice della privacy (Dlgs 196/2003).

2. Elementi di drafting e linguaggio normativo.

 

a.      Individuazione delle nuove definizioni normative introdotte dal testo, della loro necessità, della coerenza con quelle già in uso.

L'articolo 1 del provvedimento in esame integra l'art. 4 del Codice della privacy (Dlgs 196/2003), con le nuove definizioni contenute nella direttiva 2006/24/CE ai fini e nell'ambito di applicazione del presente decreto e ciò è avvenuto nel rispetto del quadro normativo vigente.

 

b.      Verifica della correttezza dei riferimenti normativi contenuti nel progetto, con particolare riguardo alle successive modificazioni ed integrazioni subite dai medesimi.

I riferimenti normativi contenuti nel provvedimento sono correttamente riportati, tenendo conto delle modificazioni e integrazioni subite nel tempo dai medesimi.

 

c.       Ricorso alla tecnica della novella legislativa per introdurre modificazioni ed integrazioni a disposizioni vigenti.

E' stato fatto ricorso alla tecnica della novella legislativa, modificando espressamente gli articoli 132, 154 del Codice della privacy (Dlgs 196/2003) ed inserendovi l'art. 162-bis.E' stao inoltre abrogato l'art. 6, comma 4 del decreto legge 27 luglio 2005, n. 144 convertito con modificazioni dall'art. 1 della legge 31 luglio 2005, n, 155.

d. Individuazione di effetti abrogativi impliciti di disposizioni dell'atto normativo e loro traduzione in norme abrogative espresse nel testo normativo.

Non si ravvisano effetti abrogativi impliciti.

3. Ulteriori elementi.

a.           Giurisprudenza costituzionale.

Il provvedimento non risulta in contrasto con la giurisprudenza costituzionale.

b.           Verifica progetti di legge vertenti sulla materia o su materie analoghe. Risultano all'esame del Parlamento i seguenti progetti di legge in materia:

1)      Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno (atto Camera dei Deputati 2817)

2)      Disposizioni in materia di intercettazioni telefoniche e ambientali e di pubblicita' degli atti di indagine (A.S. 1512)

DECRETO LEGISLATIVO
di recepimento della Direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo
2006 , riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di
servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di
comunicazione e che modifica la direttiva 2002/58/CE

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

 

Visto il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante Codice in materia di protezione dei dati personali;

 

Vista la direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE,

 

Visto il decreto-legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale, convertito in legge, con modificazioni, dall'articolo 1, della legge 31 luglio 2005, n. 155;

 

Vista la legge 6 febbraio 2007, n. 13 recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee - Legge comunitaria 2006;

 

Visto il decreto del Presidente del Consiglio dei Ministri 15 giugno 2006 con cui sono state delegate le funzioni in materia di riforme e innovazioni nella pubblica amministrazione al Ministro senza portafogli, prof. Luigi Nicolais;

 

Sentito il Garante per la protezione dei dati personali;

 

Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del

 

 

Acquisito il parere delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica ;

 

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del .........................

 

Sulla proposta del Ministro per le riforme e le innovazioni nella pubblica amministrazione e del Ministro per le politiche europee, di concerto con i Ministri delle comunicazioni, dell'interno, dell'economia e delle finanze, degli affari esteri, della difesa e della giustizia;

EMANA
il seguente decreto legislativo:

Art. 1

(Definizioni)

 1. Ai fini del presente decreto si intende :

a)         per "utente": qualsiasi persona fisica o giuridica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, senza esservi necessariamente abbonata;

b)        per "dati relativi al traffico": qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione, ivi compresi i dati necessari per identificare l'abbonato o l'utente;

c)         per "dati relativi all'ubicazione": ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico, ivi compresi quelli relativi alla cella da cui una chiamata di telefonia mobile ha origine o nella quale si conclude;

d)        per "traffico telefonico": le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e quelle basate sulla trasmissione dati, purché fornite da un gestore di telefonia, i servizi supplementari, inclusi l'inoltro e il trasferimento di chiamata, la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve, servizi mediali avanzati e servizi multimediali;

e)         per "chiamata senza risposta": la connessione istituita da un servizio telefonico accessibile al pubblico, non seguita da un'effettiva comunicazione, in quanto il destinatario non ha risposto ovvero vi è stato un intervento del gestore della rete;

f)          per "identificativo dell'utente": l'identificativo unico assegnato a una persona al momento dell'abbonamento o dell'iscrizione presso un servizio di accesso Internet o un servizio di comunicazione Internet;

g)         per "indirizzo di protocollo internet (IP) univocamente assegnato": indirizzo di protocollo (IP) che consente l'identificazione diretta dell'abbonato o utente che effettua comunicazioni sulla rete pubblica.

2. Ai fini del presente decreto si applicano, altresì, le ulteriori definizioni, non ricomprese nel comma 1, elencate nell'art. 4 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante il codice in materia di protezione dei dati personali, di seguito denominato "Codice".

Art. 2

(Modifiche all'articolo 132 del Codice).

1. L'articolo 132 del Codice è così modificato:

a) al comma 1, dopo le parole: "ventiquattro mesi" sono inserite le seguenti: "dalla data della comunicazione"; le parole: ", inclusi quelli concernenti le chiamate

senza risposta," sono soppresse; le parole "sei mesi" sono sostituite dalle seguenti: "dodici mesi dalla data della comunicazione";

b)        dopo il comma 1 è inserito il seguente: "1-bis. I dati di cui all'articolo 132-bis relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.";

c)         i commi 2, 4 e 4-bis sono abrogati;

d)        il comma 5 è così modificato:

1)                          all'alinea, le parole: "ai commi 1 e 2" sono sostituite dalle seguenti: "al comma 1" e le parole: "volti anche a" sono sostituite dalle seguenti: "volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché a";

2)                           le lettere b) e c) sono soppresse;

3)                         alla lettera d) le parole: "ai commi 1 e 2" sono sostituite dalle seguenti: "al comma 1".

Art. 3
(Categorie di dati da conservare
per gli operatori di telefonia e di comunicazione elettronica)

 

1. Le categorie di dati da conservare per le finalità di cui all'articolo 132 del Codice sono le seguenti:

 

a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:

 

1)   per la telefonia di rete fissa e la telefonia mobile:

 

1.1) numero telefonico chiamante;

 

1.2.) nome e indirizzo dell'abbonato o dell'utente registrato;

 

2)   per l'accesso Internet:

 

2.1) nome e indirizzo dell'abbonato o dell'utente registrato a cui al momento della comunicazione sono stati univocamente assegnati l'indirizzo di protocollo Internet (IP), un identificativo di utente o un numero telefonico;

 

3)   per la posta elettronica:

 

3.1) indirizzo Ip utilizzato e indirizzo di posta elettronica ed eventuale ulteriore identificativo del mittente;

3.2) indirizzo Ip e nome a dominio pienamente qualificato del mail exchanger host, nel caso della tecnologia SMTP ovvero di qualsiasi tipologia di host relativo ad una diversa tecnologia utilizzata per la trasmissione della comunicazione;

 

4) per la telefonia, invio di fax, sms e mms via Internet:

 

4.1) indirizzo Ip, numero telefonico ed eventuale altro identificativo dell'utente chiamante;

4.2) dati anagrafici dell'utente registrato che ha effettuato la comunicazione.

 b) i dati necessari per rintracciare e identificare la destinazione di una comunicazione:

1) per la telefonia di rete fissa e la telefonia mobile:

 

1.1) numero composto, ovvero il numero o i numeri chiamati e, nei casi che comportano servizi supplementari come l'inoltro o il trasferimento di chiamata, il numero o i numeri a cui la chiamata è trasmessa;

 

1.2) nome e indirizzo dell'abbonato o dell'utente registrato;

2) per la posta elettronica:

 

2.1) indirizzo di posta elettronica, ed eventuale ulteriore identificativo, del destinatario della comunicazione;

 

2.2) indirizzo IP e nome a dominio pienamente qualificato del mail exchanger host (nel caso della tecnologia SMTP), ovvero di qualsiasi tipologia di host (relativamente ad una diversa tecnologia utilizzata), che ha provveduto alla consegna del messaggio;

 

2.3) indirizzo IP utilizzato per la ricezione ovvero la consultazione dei messaggi di posta elettronica da parte del destinatario indipendentemente dalla tecnologia o dal protocollo utilizzato;

 

3) Telefonia, invio di fax, sms e mms via Internet:

 

3.1) indirizzo IP, numero telefonico ed eventuale altro identificativo dell'utente chiamato;

 

3.2) dati anagrafici dell'utente registrato che ha ricevuto la comunicazione;

 

3.3) numero o numeri a cui la chiamata è trasmessa, nei casi di servizi supplementari come l'inoltro o il trasferimento di chiamata;

c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:

 

1)   per la telefonia di rete fissa e la telefonia mobile, data e ora dell'inizio e della fine della comunicazione;

 

2)   per l'accesso Internet :

 

2.1) data e ora (GMT) della connessione e della disconnessione dell'utente del servizio di accesso Internet, unitamente all'indirizzo IP, dinamico o statico, univocamente assegnato dal fornitore di accesso Internet a una comunicazione e l'identificativo dell'abbonato o dell'utente registrato;

 

3)   per la posta elettronica:

 

3.1) data e ora (GMT) della connessione e della disconnessione dell'utente del servizio di posta elettronica su Internet ed indirizzo IP utilizzato, indipendentemente dalla tecnologia e dal protocollo impiegato;

 

4)   per la telefonia, invio di fax, sms e mms via Internet:

 

4.1) data e ora (GMT) della connessione e della disconnessione dell'utente del servizio utilizzato su Internet ed indirizzo IP impiegato, indipendentemente dalla tecnologia e dal protocollo usato;

d) i dati necessari per determinare il tipo di comunicazione:

 

1)   per la telefonia di rete fissa e la telefonia mobile: il servizio telefonico utilizzato;

 

2)   per la posta elettronica Internet e la telefonia Internet: il servizio Internet utilizzato;

e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature:

 

1)    per la telefonia di rete fissa, numeri telefonici chiamanti e chiamati;

 

2)    per la telefonia mobile:

 

2.1) numeri telefonici chiamanti e chiamati;

 

2.2) International Mobile Subscriber Identity (IMSI) del chiamante;

2.3) International Mobile Equipment Identity (IMEI) del chiamante;

2.4) l'IMSI del chiamato;

2.5) I'IMEI del chiamato;

 

2.6) nel caso dei servizi prepagati anonimi, la data e l'ora dell'attivazione iniziale della carta e l'etichetta di ubicazione (Celi ID) dalla quale è stata effettuata l'attivazione;

 

3) per l'accesso Internet e telefonia, invio di fax, sms e mms via Internet:

3.1) numero telefonico chiamante per l'accesso commutato (dial-up access);

3.2) digital subscriber line number (DSL) o un altro identificatore finale di chi è all'origine della comunicazione;

 

f) i dati necessari per determinare l'ubicazione delle apparecchiature di comunicazione mobile:

 

1) etichetta di ubicazione (Celi ID) all'inizio della comunicazione;

 

2) dati per identificare l'ubicazione geografica della cella facendo riferimento alle loro etichette di ubicazione (Celi ID) nel periodo in cui vengono conservati i dati sulle comunicazioni.

2. Con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per le riforme e le innovazioni nella pubblica amministrazione, di concerto con i Ministri delle politiche europee, delle comunicazioni, dell'interno, della giustizia, dell'economia e delle finanze, della difesa, sentito il Garante per la protezione dei dati personali, possono essere specificati, ove si renda necessario anche al fine dell'adeguamento all'evoluzione tecnologica e nell'ambito delle categorie di dati di cui alle lettere da a) ad f) del comma 1, i dati da conservare.

 

 

Articolo 4
(Autorità di controllo ed informazioni di tipo statistico)

 

1.      All'articolo 154, comma 1, lettera a) del Codice, sono aggiunte, infine, le parole: "e con riferimento alla conservazione dei dati di traffico".

 

2.      I fornitori di servizi di cui al presente decreto entro il 30 giugno, inviano annualmente al Ministero della giustizia, per il successivo inoltro alla Commissione europea, le informazioni relative:

 

a)         al numero complessivo dei casi in cui sono state forniti i dati relativi al traffico telefonico o telematico alle autorità competenti conformemente alla legislazione nazionale applicabile;

b)        al periodo di tempo trascorso fra la data della memorizzazione dei dati di traffico e quella della richiesta da parte delle autorità competenti;

c)         ai casi in cui non è stato possibile soddisfare le richieste di accesso ai dati.

Articolo 5

(Sanzioni)

 

1. Dopo l'articolo 162 del Codice è inserito il seguente:

 

"Art. 162-bis. (Sanzioni in materia di conservazione dei dati di traffico). 1. Salvo che il fatto costituiscareato, nel caso di violazione delle disposizioni di cui all'articolo132 commi 1 e 1 bis si applica lasanzione amministrativa pecuniaria da euro 10.000 a euro 60.000, che può essere aumentata sino al triplo in ragione delle condizioni economiche dei responsabili della violazione.".

 

2. Salvo che il fatto costituisca reato, l'omessa o l'incompleta conservazione dei dati ai sensi dell'articolo 132 del Codice è punita con la sanzione amministrativa pecuniaria da euro 10.000 ad euro 60.000 che può essere aumentata sino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Nel caso di assegnazione di indirizzo IP che non consente l'identificazione univoca dell'utente o abbonato si applica la sanzione amministrativa pecuniaria da euro 5000 ad euro 50.000, che può essere aumentata sino al triplo in ragione delle condizioni economiche del responsabili della violazione. Le violazioni sono contestate e le sanzioni sono applicate dal Ministero delle comunicazioni ai sensi della legge 24 novembre 1981, n. 689.

Articolo 6
(Disposizioni transitorie e finali)

1.      Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

2.      I soggetti pubblici interessati provvedono agli adempimenti derivanti dall'attuazione delle presenti disposizioni con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

3.      La disposizione dell'articolo 132, comma 1-bis, del Codice, introdotta dall'articolo 2, comma

1, lettera b), ha effetto decorsi tre mesi dall'entrata in vigore del presente decreto.

4.      L'articolo 6, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con

modificazioni, dall'articolo 1 della legge 31 luglio 2005, n. 155, è abrogato.

5.      I fornitori di servizi di comunicazione elettronica accessibili al pubblico che offrono servizi di accesso a Internet (Internet Acces Provider) assicurano la disponibilità e l'effettiva univocità degli indirizzi di protocollo Internet entro 90 giorni dalla data di entrata in vigore del presente decreto.

 

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.