Proposta di legge sulla Data Retention

Da Wikipedia, l'enciclopedia libera.

Questa proposta di legge, elaborata ben due anni e mezzo fa, e quindi allora "visionaria" e molto in anticipo sui tempi, giace nei cassetti di due parlamentari (per altre cose "illuminati") da tempo, e li evidentemente restera' . La RNP e' interessata?

Presentata da Maurizio Turco

PROPOSTA DI LEGGE (versione 6 dell'8 febbraio2005) d'iniziativa di ......

Recante: "Norme in materia di raccolta, uso, conservazione e cancellazione di dati georeferenziati o cronoreferenziati, contenenti Identificatori Univoci di Utente, effettuata per mezzo di apparecchiature automatiche".

CAPO I - PRINCIPI GENERALI

Art. 1 (definizioni)

Comma 1. Si definisce “programma per elaboratore” (software) ogni programma per elaboratore elettronico (sia sistema operativo, sia programma applicativo).

Comma 2. Si definisce "apparecchiatura di raccolta automatica di dati personali" qualunque apparecchio fisico o programma per elaboratore che memorizzi o trasmetta automaticamente, in maniera temporanea o permanente, dati riguardo il proprio funzionamento o quello di altri apparecchi e programmi per elaboratore, in cui si possano potenzialmente trovare o ricavare, informazioni personali o sensibili (come individuato dal D.L.196/2003).

Esempi di queste apparecchiature di raccolta dati personali sono le reti GSM, i dispositivi RFID, i server World Wide Web ed i sistemi di videocontrollo, e tutte le apparecchiature che memorizzano su file di log o su supporti analogici informazioni prodotte dall'attivita' di individui, come messaggi brevi di testo, posizioni dei terminali GSM, pagine web accedute, luoghi e tempi di presenza, dati biometrici.

Tutte le raccolte di dati riguardanti l'attivita' di individui che siano georeferenziate (contengano dati di posizione geografica) o cronoreferenziate (contengano dati di posizione nel tempo), e contengano IUU appartengono a questa categoria.

Comma 3. Si definisce "gestore di raccolte dati automatizzate" il titolare del trattaento dati (come individuato dal D.L.196/2003, od in sua mancanza il responsabile organizzativo delle apparecchiature di raccolta dati, od in sua mancanza il responsabile operativo delle apparecchiature di raccolta dati.

Comma 4.Si definisce "raccolta automatizzata di dati personali" qualunque archivio o flusso di dati generato da una apparecchiatura di raccolta automatica di dati personali.

Comma 5. Si definisce "file di log", qualunque raccolta di informazioni effettuata da un apparecchio fisico o programma per elaboratore che sia utile o necessaria per il suo funzionamento, ma non ne realizzi la funzione principale.

Comma 6.Si definisce "flusso di dati generato da una apparecchiatura di raccolta automatica di dati personali" la trasmissione di dati realizzata da una apparecchiatura di raccolta automatica di dati personali verso altre apparecchiature o soggetti che possono potenzialmente elaborarla o memorizzarla.

Comma 7. Si definisce "procedura di backup" l'insieme di procedure gestionali, elaboratori, periferiche per elaboratori e supporti per la memorizzazione dei dati che vengono utilizzati per garantire la conservazione temporanea di copie degli archivi di dati, al fine di consentire l'archiviazione od il ripristino dei dati stessi in caso di necessita'.

Comma 8. Si definisce "profilazione degli utenti" qualunque operazione che, elaborando dati provenienti da raccolta automatizzata di dati personali, produca dati derivati che evidenzino o raccolgano informazioni sugli utenti e sui loro comportamenti riconducibili ad una singola persona.

Comma 9. Si definisce "Identificatore Univoco di un Utente" (IUU) qualunque dato che possa permettere di raggruppare ed attribuire ad una singolo utente (non identificabile anagraficamente) una serie di dati, non necessariamente personali o sensibili, precedentemente raccolti in forma anonima. Esempi di raccolte dati di questo tipo sono i dati di cella GSM, il cui IUU e' il codice della SIM, od i dati raccolti tramite RFID, il cui IUU e' il seriale del dispositivo.

Comma 10.Si definisce "identificazione di un utente" qualunque operazione di elaborazione od incrocio di raccolte automatizzate di dati personali tra loro o con altri tipi di dati che possa portare, anche tramite l'impiego di IUU, all'identificazione anagrafica di un utente come persona fisica.

CAPO II - RACCOLTA AUTOMATICA DI DATI PERSONALI (obblighi per i gestori di raccolte dati automatizzate)

Art. 2

Comma 1. Le raccolte automatiche di dati personali possono essere realizzate solo per consentire, controllare od agevolare il funzionamento di apparecchiature di rilevamento, elaboratori o programmi per elaboratore. Le raccolte automatiche di dati personali non possono essere utilizzate per scopi diversi da quelli per cui sono state effettuate, salvo quanto disposto dal Comma 2 Articolo 2. Le raccolte automatiche di dati personali possono essere conservate solo per il tempo minimo necessario per il motivo tecnico per cui sono effettuate, e devono successivamente essere cancellate, in maniera documentabile, dai supporti originali e da tutte le copie generate da eventuali operazioni di backup. Durante la loro conservazione, ad esse devono essere applicate le norme ed i regolamenti previsti dal D.L.196/2003 e successive modifiche ed integrazioni.

Comma 2. Nel caso che il gestore di raccolte dati automatizzate intenda elaborare i dati raccolti per scopi diversi da quelli tecnici previsti, dovra' operare sui dati stessi considerandoli informazioni personali e/o sensibili (come individuate dal D.L.196/2003 e successive modifiche ed integrazioni), a seconda del tipo di informazioni personali che possono esservi contenute, ed adempiendo agli obblighi da essa previsti per queste tipologie.

Comma 3. Il gestore di raccolte dati automatizzate che intenda o debba procedere ad elaborazioni o memorizzazioni che eccedano quelle previste dal Comma 1 Articolo 2, e' tenuto a darne comunicazione all'Autorita' Garante della Privacy. Il gestore di raccolte dati automatizzate e' tenuto altresi' a rendere nota la raccolta, le sue modalita', i fini, e le procedure di conservazione, copia e cancellazione dei dati sia all'Autorita' Garante della Privacy che a tutti i soggetti i cui dati possano potenzialmente essere raccolti. Le modalita' di comunicazione e di determinazione dei soggetti interessati saranno indicate nel regolamento di attuazione. Il regolamento di attuazione conterra' un elenco di tipologie di elaborazione che escludono dal solo obbligo di comunicazione al Garante.

Comma 4. Ove non diversamente previsto per obblighi di legge, il periodo massimo di conservazione di dati ricavati tramite raccolta automatizzata di dati personali o derivati da essi e' stabilito in giorni 90.

Comma 5. Nel caso che il gestore di raccolte dati automatizzate non provveda alla cancellazione dei dati nei tempi stabiliti, o li elabori, li conservi oltre il periodo stabilito o li trasmetta a terzi, sara' soggetto alle sanzioni previste dal D.L.196/2003 e successive modifiche ed integrazioni per la stessa tipologia di violazione. CAPO III - COMUNICAZIONE DI DATI PERSONALI RICAVATI DA RACCOLTA AUTOMATICA DI DATI PERSONALI (accesso a raccolte automatizzata di dati personali da parte della magistratura e delle autorita' di pubblica sicurezza)

Art. 3

Comma 1. A richiesta del Giudice competente e/o dell'Autorita' di Pubblica Sicurezza dallo stesso delegata, nell'ambito di indagine correlate a procedimenti penali pendenti od in fase di istruzione, il gestore di raccolte dati automatizzate e' tenuto a fornire i dati provenienti da raccolte automatizzate di dati personali per i soli scopi previsti dalla richiesta.

Comma 2. Nel regolamento attuativo della legge, verranno individuate particolari raccolte automatizzate di dati personali di cui sara' prevista la conservazione per periodi di tempo inferiori a quanto disposto nell'Articolo 2 Comma 4. Procedure di conservazione e cancellazione dei dati e procedure per la richiesta di essi da parte delle autorita' saranno determinate nel regolamento attuativo.

Comma 3. E' fatto esplicito divieto di richiedere consegne generalizzate di dati che prevedano o possano portare alla creazioni di banche di dati personali riguardanti interi gruppi di persone fisiche o giuridiche che non siano oggetto di indagine giudiziaria nel loro complesso.. Le consegne dovranno essere strettamente limitate ai soli dati richiesti dai procedimenti o dalle indagini che le hanno motivate, ed essere conservate solo per il periodo streattamente necessario.

Comma 4. I dati trasmessi al Giudice competente e/o all'Autorita' di Pubblica Sicurezza devono essere utilizzati per i soli scopi per i quali sono stati richiesti, e non potranno essere utilizzati per scopi diversi senza una nuova autorizzazione. Al temine dell'impiego, tutte le copie dei dati dovranno essere cancellate, fatto salvo quelle eventualmente necessarie per atti obbligatori per legge. In quest'ultimo caso i dati dovranno essere trattati ed eventualmente resi pubblici con le stesse modalita' degli atti che li hanno richiesti.

CAPO IV - DISPOSIZIONI FINALI (regolamenti attuativi)

Art. 4

Comma 1. Entro 180 giorni dall'entrata in vigore della presente legge, il Governo emana i regolamenti attuativi necessari alla sua piena applicazione.