PRIVACY: I motori di ricerca devono rispettare le norme Ue sulla protezione dati (26/05/2008)

I motori di ricerca sono tenuti a rispettare i principi e gli obblighi sanciti dalla direttiva europea 95/46 sulla protezione dei dati, in particolare informando adeguatamente gli utenti sui dati personali da loro raccolti ed evitando di conservare questi dati se non ne è dimostrata la necessità
È questo il parere del Gruppo che riunisce le autorità europee per la privacy ( http://ec.europa.eu/...) che prende in esame numerosi aspetti connessi al trattamento di dati personali da parte dei motori di ricerca.
La raccolta e l’elaborazione di dati personali da parte dei motori di ricerca avvengono in rapporto alla duplice funzione che tali motori svolgono, sia come fornitori di servizi (indirizzi IP degli utenti, informazioni necessarie per accedere a servizi personalizzati attraverso userID e password, ecc.) sia come fornitori di contenuti (qualora memorizzino, attraverso la "cache", i risultati di ricerche su Internet contenenti informazioni personali, ovvero
forniscano informazioni a valore aggiunto, quali profili personali o comunque informazioni organizzate relative ad un determinato soggetto).
Il parere tenta di conciliare le legittime esigenze di natura commerciale dei motori di ricerca con la necessità di garantire la tutela dei dati personali. Fondamentale, in prima battuta, il riconoscimento che la direttiva 95/46/Ce sulla protezione dei dati si applica pienamente anche ai trattamenti di dati personali effettuati da motori di ricerca situati al di fuori del territorio Ue e dello Spazio Economico Europeo nella misura in cui essi utilizzino per il trattamento dispositivi situati sul territorio degli Stati membri (ad esempio, i cookie).
Per altro verso, i Garanti chiariscono che è da escludere l’applicabilità ai motori di ricerca sia della direttiva 2002/58 (direttiva e-Privacy) sia della direttiva 2006/24 sulla conservazione dei dati (la cosiddetta "direttiva Frattini"). Entrambe, infatti, non riguardano i "servizi della società dell’informazione" quali sono appunto i motori di ricerca.
Le Autorità di protezione dati europee raffermano che i motori di ricerca debbano valutare attentamente la natura delle operazioni o dei servizi che essi gestiscono per garantire il rispetto dei principi di protezione dati stabiliti dalla direttiva 95/46. Ciò vale, in modo particolare, per la conservazione dei dati personali raccolti, che devono essere distrutti o resi effettivamente anonimi (con procedure adeguate e realmente efficaci) qualora non siano necessari per gli scopi del trattamento. Nel documento viene anche ribadita la necessità per i motori di ricerca di mettere in atto in principio cosiddetto della "privacy by design", incorporando i requisiti fondamentali in materia di protezione dati nei meccanismi operativi dei motori stessi.
A tale scopo, i Garanti hanno formulato una serie di indicazioni e raccomandazioni: fornire un’adeguata informativa agli utenti (soggetto titolare del trattamento, natura dei dati raccolti, scopi del trattamento); ottenere il consenso degli utenti qualora i dati personali raccolti siano utilizzati per attività di profilazione o comunque raffrontati ad altre informazioni in possesso del motore di ricerca; effettuare la cancellazione dei dati (o loro anonimizzazione) qualora non siano più necessari per le specifiche finalità. Per quanto riguarda la conservazione dei dati personali raccolti, il Gruppo sottolinea che spetta ai motori di ricerca giustificare la conservazione prolungata (in linea di principio non superiore a 6 mesi) dei dati personali eventualmente in loro possesso. In tal senso, deve essere garantito il diritto all’oblio delle persone i cui dati siano memorizzati nella "cache", evitando che permangano in rete informazioni che risultano obsolete o comunque superate; ciò significa garantire agli interessati l’esercizio effettivo dei diritti di accesso, rettifica, cancellazione previsti dalla direttiva 95/46.

DIRETTIVA 2006/24/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 15 marzo 2006
riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di
comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica
la direttiva 2002/58/CE
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato che istituisce la Comunità europea, in particolare
l’articolo 95,
vista la proposta della Commissione,
visto il parere del Comitato economico e sociale europeo (1),
deliberando secondo la procedura di cui all’articolo 251 del
trattato (2),
considerando quanto segue:
(1) Conformemente alla direttiva 95/46/CE del Parlamento
europeo e del Consiglio, del 24 ottobre 1995, relativa alla
tutela delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati (3),
gli Stati membri sono tenuti a tutelare i diritti e le libertà
delle persone fisiche relativamente al trattamento dei dati
personali, e in particolare il diritto alla vita privata, per assicurare
la libera circolazione dei dati personali nella
Comunità.
(2) La direttiva 2002/58/CE del Parlamento europeo e del
Consiglio, del 12 luglio 2002, relativa al trattamento dei
dati personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche (direttiva relativa alla vita privata
e alle comunicazioni elettroniche) (4), traduce i principi
enunciati nella direttiva 95/46/CE in norme specifiche
per il settore delle comunicazioni elettroniche.
(3) Gli articoli 5, 6 e 9 della direttiva 2002/58/CE definiscono
le norme applicabili al trattamento, da parte dei fornitori
di reti e servizi, dei dati relativi al traffico e dei dati relativi
all’ubicazione generati dall’uso di servizi di comunicazione
elettronica. Questi dati devono essere cancellati o resi
anonimi quando non sono più necessari ai fini della trasmissione
di una comunicazione, tranne per quanto
riguarda i dati necessari per la fatturazione o per il pagamento
dell’interconnessione. Previo consenso, alcuni dati
possono anche essere trattati a fini di commercializzazione
o per la fornitura di servizi a valore aggiunto.
(4) L’articolo 15, paragrafo 1, della direttiva 2002/58/CE enumera
le condizioni a cui gli Stati membri possono limitare
i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8,
paragrafi 1, 2, 3 e 4, e all’articolo 9 di tale direttiva. Ogni
restrizione di questo tipo deve essere necessaria, opportuna
e proporzionata, all’interno di una società democratica, per
specifici fini di ordine pubblico, vale a dire per la salvaguardia
della sicurezza nazionale (cioè della sicurezza dello
Stato), della difesa, della sicurezza pubblica, o per la prevenzione,
indagine, accertamento e perseguimento dei
reati, ovvero dell’uso non autorizzato dei sistemi di comunicazione
elettronica.
(5) Diversi Stati membri hanno adottato normative sulla conservazione
di dati da parte dei fornitori dei servizi a fini di
prevenzione, indagine, accertamento e perseguimento dei
reati. Le disposizioni delle varie legislazioni nazionali differiscono
considerevolmente.
(6) Le differenze giuridiche e tecniche fra le disposizioni nazionali
relative alla conservazione dei dati ai fini di prevenzione,
indagine, accertamento e perseguimento dei reati
costituiscono un ostacolo al mercato interno delle comunicazioni
elettroniche, giacché i fornitori dei servizi devono
rispettare esigenze diverse per quanto riguarda i tipi di dati
relativi al traffico e i tipi di dati relativi all’ubicazione da
conservare e le condizioni e la durata di tale conservazione.
(7) Le conclusioni del Consiglio «Giustizia e affari interni» del
19 dicembre 2002 sottolineano che, a motivo dell’importante
aumento delle possibilità offerte dalle comunicazioni
elettroniche, i dati relativi all’uso di queste ultime costituiscono
uno strumento particolarmente importante e valido
nella prevenzione, indagine, accertamento e perseguimento
dei reati, in particolare della criminalità organizzata.
(8) Con la dichiarazione sulla lotta al terrorismo, adottata il
25 marzo 2004, il Consiglio europeo ha incaricato il Consiglio
di esaminare misure relative all’istituzione di norme
sulla conservazione dei dati relativi al traffico delle comunicazioni
da parte dei fornitori di servizi.
(1) Parere espresso il 19 gennaio 2006 (non ancora pubblicato nella Gazzetta
ufficiale).
(2) Parere del Parlamento europeo del 14 dicembre 2005 (non ancora
pubblicato nella Gazzetta ufficiale) e decisione del Consiglio del 21 febbraio
2006.
(3) GU L 281 del 23.11.1995, pag. 31. Direttiva modificata dal regolamento
(CE) n. 1882/2003 (GU L 284 del 31.10.2003, pag. 1).
(4) GU L 201 del 31.7.2002, pag. 37.
L 105/54 IT Gazzetta ufficiale dell’Unione europea 13.4.2006
(9) In base all’articolo 8 della Convenzione europea per la salvaguardia
dei diritti dell’uomo e delle libertà fondamentali
(CEDU), ogni persona ha diritto al rispetto della sua vita
privata e della sua corrispondenza. Non può esservi ingerenza
della pubblica autorità nell’esercizio di tale diritto se
non in quanto tale ingerenza sia prevista dalla legge e in
quanto costituisca una misura che, in una società democratica,
è necessaria tra l’altro per la sicurezza nazionale,
l’ordine pubblico, la prevenzione di disordini o reati, la
protezione dei diritti e delle libertà altrui. Giacché la conservazione
dei dati si è dimostrata uno strumento investigativo
necessario ed efficace per le autorità di contrasto in
vari Stati membri, riguardanti in particolare reati gravi
come la criminalità organizzata e il terrorismo, risulta
necessario assicurare che i dati conservati restino a disposizione
delle autorità di contrasto per un certo periodo di
tempo alle condizioni previste dalla presente direttiva.
L’adozione di uno strumento concernente la conservazione
dei dati in conformità dei requisiti dell’articolo 8 della
CEDU costituisce pertanto una misura necessaria.
(10) Il 13 luglio 2005 il Consiglio ha ribadito nella sua dichiarazione
di condanna degli attacchi terroristici di Londra la
necessità di adottare al più presto misure comuni in materia
di conservazione dei dati relativi alle telecomunicazioni.
(11) Data l’importanza dei dati relativi al traffico e dei dati relativi
all’ubicazione per l’indagine, l’accertamento e il perseguimento
dei reati, come dimostrato da lavori di ricerca e
dall’esperienza pratica di diversi Stati membri, è necessario
garantire a livello europeo la conservazione, per un certo
periodo di tempo, alle condizioni previste dalla presente
direttiva, dei dati generati o trattati dai fornitori di servizi
di comunicazione elettronica accessibili al pubblico o di
una rete pubblica di comunicazione.
(12) L’articolo 15, paragrafo 1, della direttiva 2002/58/CE continua
ad applicarsi ai dati, compresi quelli connessi ai tentativi
di chiamata non riusciti, di cui non è specificamente
richiesta la conservazione a norma della presente direttiva
e che pertanto non rientrano nel campo di applicazione
della stessa, e alla conservazione dei dati per scopi, anche
giudiziari, diversi da quelli contemplati dalla presente
direttiva.
(13) La presente direttiva concerne esclusivamente i dati generati
o trattati come conseguenza di una comunicazione o
di un servizio di comunicazione e non concerne i dati che
costituiscono il contenuto dell’informazione comunicata. È
opportuno che la conservazione dei dati sia effettuata in
modo da evitare che i dati siano conservati più di una volta.
La generazione o il trattamento di dati nel quadro della fornitura
dei servizi di comunicazione in questione si riferisce
a dati che sono accessibili. In particolare, per quanto concerne
la conservazione di dati connessi alla posta elettronica
su Internet e alla telefonia via Internet, l’obbligo di
conservazione può essere limitato ai dati relativi ai servizi
propri dei fornitori di servizi di comunicazione elettronica
o di una rete di comunicazione.
(14) Le tecnologie delle comunicazioni elettroniche stanno
cambiando rapidamente e le legittime esigenze delle autorità
competenti possono evolvere. Per ottenere pareri
e incoraggiare lo scambio di esperienze di migliori prassi
su tali questioni la Commissione intende istituire un
gruppo composto dalle autorità di contrasto degli Stati
membri, da associazioni del settore delle comunicazioni
elettroniche, da rappresentanti del Parlamento europeo e
dalle autorità garanti della protezione dei dati, incluso il
garante europeo della protezione dei dati.
(15) La direttiva 95/46/CE e la direttiva 2002/58/CE sono pienamente
applicabili ai dati conservati conformemente alla
presente direttiva. L’articolo 30, paragrafo 1, lettera c), della
direttiva 95/46/CE richiede la consultazione del gruppo di
lavoro sulla tutela delle persone con riguardo al trattamento
dei dati personali, istituito a norma del suo
articolo 29.
(16) Gli obblighi incombenti ai fornitori di servizi per quanto
concerne le misure atte ad assicurare la qualità dei dati, che
derivano dall’articolo 6 della direttiva 95/46/CE e i loro
obblighi concernenti le misure atte ad assicurare la riservatezza
e la sicurezza dei trattamenti dei dati, derivanti
dagli articoli 16 e 17 di tale direttiva, sono pienamente
applicabili ai dati conservati ai sensi della presente direttiva.
(17) È fondamentale che gli Stati membri adottino misure legislative
per assicurare che i dati conservati ai sensi della presente
direttiva siano trasmessi solo alle autorità nazionali
competenti, conformemente alla legislazione nazionale,
nel pieno rispetto dei diritti fondamentali delle persone
interessate.
(18) In tale contesto l’articolo 24 della direttiva 95/46/CE fa
obbligo agli Stati membri di prevedere sanzioni in caso di
violazione delle disposizioni adottate a norma di tale direttiva.
L’articolo 15, paragrafo 2, della direttiva 2002/58/CE
impone lo stesso obbligo relativamente alle disposizioni
nazionali adottate in base alla direttiva 2002/58/CE. La
decisione quadro 2005/222/GAI del Consiglio, del 24 febbraio
2005, relativa agli attacchi contro i sistemi di informazione
(1), prescrive che l’accesso illecito intenzionale a
sistemi di informazione, inclusi i dati ivi conservati, sia
punito come reato.
(19) Il diritto di risarcimento, di cui, in virtù dell’articolo 23
della direttiva 95/46/CE, godono le persone che hanno
subito un danno cagionato da un trattamento illecito o da
qualsiasi altro atto incompatibile con le disposizioni nazionali
adottate in base a tale direttiva, si applica anche in caso
di trattamento illecito di dati personali ai sensi della presente
direttiva.
(1) GU L 69 del 16.3.2005, pag. 67.
13.4.2006 IT Gazzetta ufficiale dell’Unione europea L 105/55
(20) La convenzione del Consiglio d’Europa sulla criminalità
informatica, del 2001, e la convenzione del Consiglio
d’Europa sulla protezione delle persone per quanto
riguarda l’elaborazione automatica dei dati a carattere personale,
del 1981, riguardano anche i dati conservati ai sensi
della presente direttiva.
(21) Poiché gli obiettivi della presente direttiva, ossia l’armonizzazione
degli obblighi, per i fornitori, di conservare certi
dati e di garantire che essi siano disponibili a fini di indagine,
accertamento e perseguimento di reati gravi quali
definiti da ciascuno Stato membro nella propria legislazione
nazionale, non possono essere realizzati in misura
sufficiente dagli Stati membri e possono dunque, a causa
della dimensione e degli effetti della presente direttiva,
essere realizzati meglio a livello comunitario, la Comunità
può intervenire in base al principio di sussidiarietà sancito
dall’articolo 5 del trattato. La presente direttiva si limita a
quanto necessario per conseguire tali obiettivi in ottemperanza
al principio di proporzionalità enunciato nello stesso
articolo.
(22) La presente direttiva rispetta i diritti fondamentali e osserva
i principi riconosciuti, segnatamente nella Carta dei diritti
fondamentali dell’Unione europea. In particolare, insieme
alla direttiva 2002/58/CE, essa mira a garantire la piena
osservanza dei diritti fondamentali del cittadino al rispetto
della propria vita privata e delle proprie comunicazioni e
alla protezione dei dati di carattere personale come previsto
dagli articoli 7 e 8 della Carta.
(23) Dato che gli obblighi dei fornitori di servizi di comunicazioni
elettroniche dovrebbero essere proporzionati, la presente
direttiva prescrive che essi conservino soltanto i dati
generati o trattati nel processo di fornitura dei loro servizi
di comunicazione. Nella misura in cui tali dati non sono
generati o trattati da detti fornitori, non sussiste alcun
obbligo di conservarli. La presente direttiva non è intesa ad
armonizzare la tecnologia di conservazione dei dati, la
scelta della quale è di pertinenza nazionale.
(24) Conformemente al punto 34 dell’accordo interistituzionale
«Legiferare meglio» (1), gli Stati membri sono incoraggiati
a redigere e rendere pubblici, nell’interesse proprio e della
Comunità, prospetti indicanti, per quanto possibile, la concordanza
tra le direttive e i provvedimenti di recepimento.
(25) La presente direttiva lascia impregiudicata la facoltà degli
Stati membri di adottare misure legislative concernenti il
diritto di accesso e ricorso ai dati da parte di autorità nazionali
da essi designate. Le questioni relative all’accesso ai dati
conservati ai sensi della presente direttiva da parte di autorità
nazionali per attività di cui all’articolo 3, paragrafo 2,
primo trattino, della direttiva 95/46/CE, ricadono al di
fuori del campo di applicazione del diritto comunitario.
Esse tuttavia possono formare oggetto di legislazione
nazionale o di azione ai sensi del titolo VI del trattato sull’Unione
europea. Tali normative o azioni devono rispettare
pienamente i diritti fondamentali che risultano dalle
tradizioni costituzionali comuni degli Stati membri e che
sono garantiti dalla CEDU. L’articolo 8 della CEDU, nell’interpretazione
della Corte europea dei diritti dell’uomo, prescrive
che l’ingerenza di un’autorità pubblica nel diritto alla
riservatezza deve rispondere a criteri di necessità e proporzionalità
e deve quindi perseguire scopi specifici, espliciti e
legittimi nonché essere esercitata in modo adeguato, pertinente
e non eccessivo rispetto allo scopo ricercato,
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
Articolo 1
Oggetto e campo d’applicazione
1. La presente direttiva ha l’obiettivo di armonizzare le disposizioni
degli Stati membri relative agli obblighi, per i fornitori di
servizi di comunicazione elettronica accessibili al pubblico o di
una rete pubblica di comunicazione, relativi alla conservazione di
determinati dati da essi generati o trattati, allo scopo di garantirne
la disponibilità a fini di indagine, accertamento e perseguimento
di reati gravi, quali definiti da ciascuno Stato membro nella propria
legislazione nazionale.
2. La presente direttiva si applica ai dati relativi al traffico e ai
dati relativi all’ubicazione delle persone sia fisiche che giuridiche,
e ai dati connessi necessari per identificare l’abbonato o l’utente
registrato. Non si applica al contenuto delle comunicazioni elettroniche,
ivi incluse le informazioni consultate utilizzando una
rete di comunicazioni elettroniche.
Articolo 2
Definizioni
1. Ai fini della presente direttiva si applicano le definizioni
contenute nella direttiva 95/46/CE, nella direttiva 2002/21/CE del
Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce
un quadro normativo comune per le reti ed i servizi di
comunicazione elettronica (direttiva quadro) (2), e nella direttiva
2002/58/CE.
2. Ai fini della presente direttiva si intende per:
a) «dati»: i dati relativi al traffico e i dati relativi all’ubicazione,
così come i dati connessi necessari per identificare l’abbonato
o l’utente;
(1) GU C 321 del 31.12.2003, pag. 1. (2) GU L 108 del 24.4.2002, pag. 33.
L 105/56 IT Gazzetta ufficiale dell’Unione europea 13.4.2006
b) «utente»: qualsiasi persona fisica o giuridica che utilizza un
servizio di comunicazione elettronica accessibile al pubblico,
per fini privati o professionali, senza essere necessariamente
abbonata a tale servizio;
c) «servizio telefonico»: le chiamate telefoniche (incluse chiamate
vocali, di messaggeria vocale, in conferenza e di trasmissione
dati), i servizi supplementari (inclusi l’inoltro e il
trasferimento di chiamata), la messaggeria e i servizi multimediali
(inclusi servizi di messaggeria breve, servizi mediali
avanzati e servizi multimediali);
d) «identificativo dell’utente»: un identificativo unico assegnato
a una persona al momento dell’abbonamento o dell’iscrizione
presso un servizio di accesso Internet o un servizio di comunicazione
Internet;
e) «etichetta di ubicazione»: l’identità della cellula da cui una
chiamata di telefonia mobile ha origine o nella quale si
conclude;
f) «tentativo di chiamata non riuscito»: una chiamata telefonica
che è stata collegata con successo ma non ha ottenuto risposta,
oppure in cui vi è stato un intervento del gestore della
rete.
Articolo 3
Obbligo di conservazione dei dati
1. In deroga agli articoli 5, 6 e 9 della direttiva 2002/58/CE, gli
Stati membri adottano misure per garantire che i dati di cui all’articolo
5 della presente direttiva, qualora siano generati o trattati
nel quadro della fornitura dei servizi di comunicazione interessati,
da fornitori di servizi di comunicazione elettronica accessibili
al pubblico o di una rete pubblica di comunicazione
nell’ambito della loro giurisdizione, siano conservati conformemente
alle disposizioni della presente direttiva.
2. L’obbligo di conservazione stabilito al paragrafo 1 comprende
la conservazione dei dati specificati all’articolo 5 relativi ai
tentativi di chiamata non riusciti dove tali dati vengono generati
o trattati e immagazzinati (per quanto riguarda i dati telefonici)
oppure trasmessi (per quanto riguarda i dati Internet) da parte dei
fornitori di servizi di comunicazione elettronica accessibili al pubblico
oppure di una rete pubblica di comunicazione nell’ambito
della giurisdizione dello Stato membro interessato nel processo di
fornire i servizi di comunicazione interessati. La presente direttiva
non richiede la conservazione dei dati per quanto riguarda le
chiamate non collegate.
Articolo 4
Accesso ai dati
Gli Stati membri adottano misure per garantire che i dati conservati
ai sensi della presente direttiva siano trasmessi solo alle autorità
nazionali competenti, in casi specifici e conformemente alle
normative nazionali. Le procedure da seguire e le condizioni da
rispettare per avere accesso ai dati conservati in conformità dei
criteri di necessità e di proporzionalità sono definite da ogni Stato
membro nella legislazione nazionale, con riserva delle disposizioni
in materia del diritto dell’Unione europea o del diritto pubblico
internazionale e in particolare della CEDU, secondo
l’interpretazione della Corte europea dei diritti dell’uomo.
Articolo 5
Categorie di dati da conservare
1. Gli Stati membri provvedono affinché in applicazione della
presente direttiva siano conservate le seguenti categorie di dati:
a) i dati necessari per rintracciare e identificare la fonte di una
comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile:
i) numero telefonico chiamante;
ii) nome e indirizzo dell’abbonato o dell’utente
registrato;
2) per l’accesso Internet, posta elettronica su Internet e telefonia
via Internet:
i) identificativo/i dell’utente;
ii) identificativo dell’utente e numero telefonico assegnati
a ogni comunicazione sulla rete telefonica
pubblica;
iii) nome e indirizzo dell’abbonato o dell’utente registrato
a cui al momento della comunicazione sono
stati assegnati l’indirizzo di protocollo Internet (IP),
un identificativo di utente o un numero telefonico;
b) i dati necessari per rintracciare e identificare la destinazione
di una comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile:
i) numero/i digitato/i (il numero o i numeri chiamati)
e, nei casi che comportano servizi supplementari
come l’inoltro o il trasferimento di chiamata, il
numero o i numeri a cui la chiamata è trasmessa;
ii) nome/i e indirizzo/i dell’abbonato/i o dell’utente/i
registrato/i;
13.4.2006 IT Gazzetta ufficiale dell’Unione europea L 105/57
2) per la posta elettronica su Internet e la telefonia via
Internet:
i) identificativo dell’utente o numero telefonico del/dei
presunto/i destinatario/i di una chiamata telefonica
via Internet;
ii) nome/i e indirizzo/i dell’abbonato/i o dell’utente/i
registrato/i e identificativo del presunto destinatario
della comunicazione;
c) i dati necessari per determinare la data, l’ora e la durata di una
comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile, data e
ora dell’inizio e della fine della comunicazione;
2) per l’accesso Internet, la posta elettronica via Internet e
la telefonia via Internet:
i) data e ora del log-in e del log-off del servizio di
accesso Internet sulla base di un determinato fuso
orario, unitamente all’indirizzo IP, dinamico o statico,
assegnato dal fornitore di accesso Internet a
una comunicazione e l’identificativo dell’abbonato o
dell’utente registrato;
ii) data e ora del log-in e del log-off del servizio di
posta elettronica su Internet o del servizio di telefonia
via Internet sulla base di un determinato fuso
orario;
d) i dati necessari per determinare il tipo di comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile: il
servizio telefonico utilizzato;
2) per la posta elettronica Internet e la telefonia Internet: il
servizio Internet utilizzato;
e) i dati necessari per determinare le attrezzature di comunicazione
degli utenti o quello che si presume essere le loro
attrezzature:
1) per la telefonia di rete fissa, numeri telefonici chiamanti
e chiamati;
2) per la telefonia mobile:
i) numeri telefonici chiamanti e chiamati;
ii) International Mobile Subscriber Identity (IMSI) del
chiamante;
iii) International Mobile Equipment Identity (IMEI) del
chiamante;
iv) l’IMSI del chiamato;
v) l’IMEI del chiamato;
vi) nel caso dei servizi prepagati anonimi, la data e l’ora
dell’attivazione iniziale della carta e l’etichetta di
ubicazione (Cell ID) dalla quale è stata effettuata
l’attivazione;
3) per l’accesso Internet, la posta elettronica su Internet e la
telefonia via Internet:
i) numero telefonico chiamante per l’accesso commutato
(dial-up access);
ii) digital subscriber line (DSL) o un altro identificatore
finale di chi è all’origine della comunicazione;
f) i dati necessari per determinare l’ubicazione delle apparecchiature
di comunicazione mobile:
1) etichetta di ubicazione (Cell ID) all’inizio della
comunicazione;
2) dati per identificare l’ubicazione geografica delle cellule
facendo riferimento alle loro etichette di ubicazione (Cell
ID) nel periodo in cui vengono conservati i dati sulle
comunicazioni.
2. A norma della presente direttiva, non può essere conservato
alcun dato relativo al contenuto della comunicazione.
Articolo 6
Periodi di conservazione
Gli Stati membri provvedono affinché le categorie di dati di cui
all’articolo 5 siano conservate per periodi non inferiori a sei mesi
e non superiori a due anni dalla data della comunicazione.
Articolo 7
Protezione e sicurezza dei dati
Fatte salve le disposizioni adottate in conformità della direttiva
95/46/CE e della direttiva 2002/58/CE, ogni Stato membro provvede
a che i fornitori di servizi di comunicazione elettronica
accessibili al pubblico o di una rete pubblica di comunicazione
rispettino, come minimo, i seguenti principi di sicurezza dei dati
per quanto concerne i dati conservati in conformità della presente
direttiva:
a) i dati conservati sono della stessa qualità e sono soggetti alla
stessa sicurezza e tutela dei dati in rete;
L 105/58 IT Gazzetta ufficiale dell’Unione europea 13.4.2006
b) i dati sono soggetti ad adeguate misure tecniche e organizzative
intese a tutelarli da una distruzione accidentale o illecita,
da un’alterazione o perdita accidentale, da immagazzinamento,
trattamento, accesso o divulgazione non autorizzati
o illeciti;
c) i dati sono soggetti ad adeguate misure tecniche e organizzative
intese a garantire che gli stessi possono essere consultati
soltanto da persone appositamente autorizzate;
e
d) i dati vengono distrutti alla fine del periodo di conservazione,
fatta eccezione per quelli consultati e conservati.
Articolo 8
Condizioni di immagazzinamento dei dati conservati
Gli Stati membri provvedono affinché i dati di cui all’articolo 5
siano conservati conformemente alla presente direttiva in modo
che i dati conservati e ogni altra informazione necessaria ad essi
collegata possano essere trasmessi immediatamente alle autorità
competenti su loro richiesta.
Articolo 9
Autorità di controllo
1. Ogni Stato membro designa una o più autorità pubbliche
quali responsabili del controllo dell’applicazione sul suo territorio
delle disposizioni adottate dagli Stati membri in conformità
dell’articolo 7 per quanto concerne la sicurezza dei dati conservati.
Dette autorità possono essere le stesse autorità di cui all’articolo
28 della direttiva 95/46/CE.
2. Le autorità di cui al paragrafo 1 esercitano in totale indipendenza
il controllo di cui al detto paragrafo.
Articolo 10
Statistiche
1. Gli Stati membri provvedono affinché siano fornite annualmente
alla Commissione statistiche sulla conservazione dei dati
generati o trattati nell’ambito della fornitura di servizi di comunicazione
elettronica accessibili al pubblico o di una rete pubblica
di comunicazione. Tali statistiche riguardano:
— i casi in cui sono state trasmesse informazioni alle autorità
competenti conformemente alla legislazione nazionale
applicabile,
— il tempo trascorso fra la data in cui le informazioni sono state
conservate e la data in cui le autorità competenti ne hanno
richiesto la trasmissione,
— i casi in cui non è stato possibile soddisfare le richieste di dati.
2. Tali statistiche non contengono dati personali.
Articolo 11
Modifica della direttiva 2002/58/CE
All’articolo 15 della direttiva 2002/58/CE è inserito il seguente
paragrafo:
«1 bis. Il paragrafo 1 non si applica ai dati la cui conservazione
è specificamente prevista dalla direttiva 2006/24/CE del
Parlamento europeo e del Consiglio, del 15 marzo 2006,
riguardante la conservazione di dati generati o trattati nell’ambito
della fornitura di servizi di comunicazione elettronica
accessibili al pubblico o di reti pubbliche di comunicazione (*),
ai fini di cui all’articolo 1, paragrafo 1, di tale direttiva.
(*) GU L 105 del 13.4.2006, pag. 54.»
Articolo 12
Future misure
1. Uno Stato membro che si trovi ad affrontare circostanze
particolari che giustificano una proroga, per un periodo limitato,
del periodo massimo di conservazione di cui all’articolo 6, può
adottare le necessarie misure. Lo Stato membro notifica immediatamente
alla Commissione e informa gli altri Stati membri delle
misure adottate in virtù del presente articolo, motivandone
l’introduzione.
2. Entro sei mesi dalla notifica di cui al paragrafo 1, la Commissione
approva o respinge le misure nazionali in questione,
dopo aver accertato se costituiscano un mezzo di discriminazione
arbitraria o di restrizione occulta degli scambi fra gli Stati membri
e se rappresentino un ostacolo al funzionamento del mercato
interno. In assenza di decisione da parte della Commissione entro
tale periodo, le misure nazionali si considerano approvate.
3. Quando le misure nazionali di uno Stato membro in deroga
alle disposizioni della presente direttiva sono approvate conformemente
al paragrafo 2, la Commissione può valutare se proporre
una modifica della presente direttiva.
Articolo 13
Ricorsi giurisdizionali, responsabilità e sanzioni
1. Ogni Stato membro adotta le misure necessarie per garantire
che le misure nazionali di attuazione del capo III della direttiva
95/46/CE in materia di ricorsi giurisdizionali, responsabilità
e sanzioni siano pienamente attuate con riferimento al trattamento
di dati nel quadro della presente direttiva.
13.4.2006 IT Gazzetta ufficiale dell’Unione europea L 105/59
2. In particolare, ciascuno Stato membro adotta le misure
necessarie per garantire che qualsivoglia accesso o trasferimento
intenzionale di dati conservati in conformità della presente direttiva,
che non sia autorizzato dalle disposizioni nazionali di attuazione
della stessa, sia passibile di sanzioni, anche a carattere
amministrativo o penale, che sono efficaci, proporzionate e
dissuasive.
Articolo 14
Valutazione
1. Entro il 15 settembre 2010 la Commissione presenta al Parlamento
europeo e al Consiglio, tenendo conto degli ulteriori sviluppi
delle tecnologie della comunicazione elettronica e delle
statistiche ad essa fornite ai sensi dell’articolo 10, una valutazione
dell’applicazione della presente direttiva e del suo impatto sugli
operatori economici e sui consumatori, allo scopo di determinare
se è necessario modificare le disposizioni della direttiva, in particolare
per quanto riguarda le categorie di dati di cui all’articolo 5
e i periodi di conservazione di cui all’articolo 6. I risultati della
valutazione sono messi a disposizione del pubblico.
2. A tal fine la Commissione esamina ogni osservazione comunicatale
dagli Stati membri o dal gruppo di lavoro, istituito
dall’articolo 29 della direttiva 95/46/CE.
Articolo 15
Recepimento
1. Gli Stati membri mettono in vigore le disposizioni legislative,
regolamentari e amministrative necessarie per conformarsi
alla presente direttiva al più tardi entro il 15 settembre 2007. Essi
comunicano immediatamente alla Commissione il testo di tali
disposizioni.
Quando gli Stati membri adottano tali disposizioni, queste contengono
un riferimento alla presente direttiva o sono corredate da
un siffatto riferimento all’atto della loro pubblicazione ufficiale. Le
modalità del riferimento sono decise dagli Stati membri.
2. Gli Stati membri trasmettono alla Commissione il testo delle
disposizioni principali di diritto nazionale che essi adottano nel
settore coperto dalla presente direttiva.
3. Fino al 15 marzo 2009 ogni Stato membro ha facoltà di differire
l’applicazione della presente direttiva alla conservazione di
dati di comunicazione concernenti l’accesso Internet, la telefonia
via Internet e la posta elettronica su Internet. Uno Stato membro
che intenda avvalersi del presente paragrafo ne dà notifica al Consiglio
e alla Commissione con una dichiarazione all’atto dell’adozione
della presente direttiva. La dichiarazione è pubblicata nella
Gazzetta ufficiale dell’Unione europea.
Articolo 16
Entrata in vigore
La presente direttiva entra in vigore il ventesimo giorno successivo
alla pubblicazione sulla Gazzetta ufficiale dell’Unione europea.
Articolo 17
Destinatari
Gli Stati membri sono destinatari della presente direttiva.
Fatto a Strasburgo, addì 15 marzo 2006.
Per il Parlamento europeo
Il presidente
J. BORRELL FONTELLES
Per il Consiglio
Il presidente
H. WINKLER
L 105/60 IT Gazzetta ufficiale dell’Unione europea 13.4.2006
Dichiarazione dei Paesi Bassi
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
Riguardo alla direttiva del Parlamento europeo e del Consiglio riguardante la conservazione di dati trattati nell’ambito della fornitura di
servizi di comunicazione elettronica accessibili al pubblico e che modifica la direttiva 2002/58/CE i Paesi Bassi intendono avvalersi della
facoltà di differire l’applicazione della direttiva alla conservazione di dati di comunicazione concernenti l’accesso Internet, la telefonia via
Internet e la posta elettronica su Internet per un periodo non superiore a 18 mesi dalla sua entrata in vigore.
Dichiarazione dell’Austria
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
L’Austria dichiara l’intenzione di rinviare l’applicazione della presente direttiva alla conservazione di dati sulle comunicazioni concernenti
l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet di 18 mesi a decorrere dalla data indicata all’articolo 15,
paragrafo 1.
Dichiarazione dell’Estonia
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
Conformemente all’articolo 15, paragrafo 3, della direttiva del Parlamento europeo e del Consiglio riguardante la conservazione di dati
generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione
e che modifica la direttiva 2002/58/CE, l’Estonia dichiara l’intenzione di avvalersi del suddetto paragrafo e differire quindi l’applicazione
della direttiva alla conservazione di dati di comunicazione concernenti l’accesso Internet, la telefonia via Internet e la posta
elettronica su Internet fino a 36 mesi dalla data della sua adozione.
Dichiarazione del Regno Unito
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
Il Regno Unito dichiara ai sensi dell’articolo 15, paragrafo 3, della direttiva riguardante la conservazione di dati generati o trattati
nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica
la direttiva 2002/58/CE, che intende rinviare l’applicazione di tale direttiva alla conservazione di dati sulle comunicazioni concernenti
l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet.
Dichiarazione della Repubblica di Cipro
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Repubblica di Cipro dichiara che differirà, fino alla data fissata all’articolo 15, paragrafo 3, l’applicazione della direttiva alla conservazione
di dati di comunicazione concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet.
Dichiarazione della Repubblica ellenica
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Grecia dichiara che, conformemente all’articolo 15, paragrafo 3, della direttiva, intende differirne l’applicazione alla conservazione di
dati di comunicazione concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet fino a 18 mesi dalla scadenza
del periodo previsto all’articolo 15, paragrafo 1.
Dichiarazione del Granducato di Lussemburgo
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
Conformemente alle disposizioni dell’articolo 15, paragrafo 3, della direttiva del Parlamento europeo e del Consiglio riguardante la conservazione
di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche
di comunicazione e che modifica la direttiva 2002/58/CE, il governo del Granducato di Lussemburgo dichiara l’intenzione di
avvalersi del paragrafo 3 dell’articolo 15 della direttiva per avere la possibilità di differirne l’applicazione per quanto riguarda la conservazione
di dati sulle comunicazioni concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet.
13.4.2006 IT Gazzetta ufficiale dell’Unione europea L 105/61
Dichiarazione della Slovenia
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Slovenia aderisce al gruppo dagli Stati membri che hanno fatto una dichiarazione ai sensi dell’articolo 15, paragrafo 3, della direttiva
del Parlamento europeo e del Consiglio riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione
elettronica accessibili al pubblico o di reti pubbliche di comunicazione, ai fini del rinvio di 18 mesi dell’applicazione della direttiva
alla conservazione dei dati sulle comunicazioni concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet.
Dichiarazione della Svezia
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Svezia intende avvalersi della possibilità prevista all’articolo 15, paragrafo 3, di rinviare l’applicazione della direttiva in questione per
quanto riguarda la conservazione dei dati sulle comunicazioni concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica
su Internet.
Dichiarazione della Repubblica di Lituania
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
Ai sensi dell’articolo 15, paragrafo 3, del progetto di direttiva del Parlamento europeo e del Consiglio riguardante la conservazione di dati
generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione
e che modifica la direttiva 2002/58/CE (di seguito «la direttiva»), la Repubblica di Lituania dichiara di voler differire l’applicazione
della direttiva, una volta che sarà stata adottata, alla conservazione di dati di comunicazione concernenti l’accesso Internet, la telefonia via
Internet e la posta elettronica su Internet per il periodo previsto all’articolo 15, paragrafo 3.
Dichiarazione della Repubblica di Lettonia
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Lettonia dichiara, conformemente all’articolo 15, paragrafo 3, della direttiva 2006/24/CE del 15 marzo 2006, riguardante la conservazione
di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche
di comunicazione e che modifica la direttiva 2002/58/CE, che ne differirà l’applicazione alla conservazione di dati di comunicazione
concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet fino al 15 marzo 2009.
Dichiarazione della Repubblica ceca
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
Ai sensi dell’articolo 15, paragrafo 3, della direttiva la Repubblica ceca dichiara che ne differirà l’applicazione alla conservazione di dati di
comunicazione concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet fino a 36 mesi dalla data della sua
adozione.
Dichiarazione del Belgio
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
Il Belgio dichiara che intende differire, conformemente alla possibilità prevista all’articolo 15, paragrafo 3, per un periodo di 36 mesi
dall’adozione della presente direttiva, l’applicazione della stessa alla conservazione dei dati di comunicazione concernenti l’accesso a Internet,
la telefonia via Internet e la posta elettronica su Internet.
Dichiarazione della Repubblica polacca
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Polonia dichiara di avvalersi della facoltà, prevista nell’articolo 15, paragrafo 3, della direttiva del Parlamento europeo e del Consiglio
riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico
o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, di differire l’applicazione della direttiva alla conservazione
di dati di comunicazione concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet di diciotto mesi
rispetto al termine previsto nell’articolo 15, paragrafo 1.
L 105/62 IT Gazzetta ufficiale dell’Unione europea 13.4.2006
Dichiarazione della Finlandia
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Finlandia dichiara, ai sensi dell’articolo 15, paragrafo 3, della direttiva riguardante la conservazione di dati generati o trattati nell’ambito
della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la
direttiva 2002/58/CE, che intende differire l’applicazione di tale direttiva alla conservazione di dati di comunicazione concernenti l’accesso
Internet, la telefonia via Internet e la posta elettronica su Internet.
Dichiarazione della Germania
ai sensi dell’articolo 15, paragrafo 3, della direttiva 2006/24/CE
La Germania si riserva il diritto di differire l’applicazione della direttiva alla conservazione di dati di comunicazione concernenti l’accesso
Internet, la telefonia via Internet e la posta elettronica su Internet di 18 mesi a decorrere dalla data prevista all’articolo 15, paragrafo 1,
prima frase.