DECRETO LEGISLATIVO 30 maggio 2008 , n. 109

Attuazione della direttiva2006/24/CE riguardante la conservazione dei dati generati o trattatinell'ambito della fornitura di servizi di comunicazione elettronica accessibilial pubblico o di reti pubbliche di comunicazione e che modifica la direttiva2002/58/CE

(Pubblicato sulla GU n. 141 del18/6/2008)

 

IL PRESIDENTE DELLA REPUBBLICA

 

Visti gli articoli 76 e 87 della Costituzione;

Vista la legge 6 febbraio 2007, n. 13, recantedisposizioni per l'adempimento di obblighi derivanti dall'appartenenzadell'Italia alle Comunita' europee - Legge comunitaria 2006, ed in particolarel'articolo 1 e l'allegato B;

Vista la direttiva 2006/24/CE del Parlamento europeoe del Consiglio, del 15 marzo 2006, riguardante la conservazione di datigenerati o trattati nell'ambito della fornitura di servizi di comunicazioneelettronica accessibili al pubblico o di reti pubbliche di comunicazione e chemodifica la direttiva 2002/58/CE;

Visto il decreto legislativo 30 giugno 2003, n 196,e successive modificazioni, recante Codice in materia di protezione dei datipersonali;

Visto il decreto-legge 27 luglio 2005, n. 144,convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recantemisure urgenti per il contrasto del terrorismo internazionale;

Sentito il Garante per la protezione dei datipersonali;

Vista la preliminare deliberazione del Consiglio deiMinistri, adottata nella riunione del 27 febbraio 2008;

Acquisito il parere della competente Commissionedella Camera dei deputati;

Considerato che la competente Commissione del Senatodella Repubblica non si e' espressa nel termine previsto;

Vista la deliberazione del Consiglio dei Ministri,adottata nella riunione del 21 maggio 2008;

Sulla proposta del Ministro per le politiche europeee del Ministro per la pubblica amministrazione e l'innovazione, di concerto coni Ministri degli affari esteri, della giustizia, dell'economia e delle finanze,dello sviluppo economico, dell'interno e della difesa;

 

E m a n a

 

il seguente decreto legislativo:

 

Art. 1.

Definizioni

1. Ai fini del presente decreto si intende:

a) per utente: qualsiasi persona fisica o giuridicache utilizza un servizio di comunicazione elettronica accessibile al pubblico,senza esservi necessariamente abbonata;

b) per dati relativi al traffico: qualsiasi datosottoposto a trattamento ai fini della trasmissione di una comunicazione su unarete di comunicazione elettronica o della relativa fatturazione, ivi compresi idati necessari per identificare l'abbonato o l'utente;

c) per dati relativi all'ubicazione: ogni datotrattato in una rete di comunicazione elettronica che indica la posizionegeografica dell'apparecchiatura terminale dell'utente di un servizio dicomunicazione elettronica accessibile al pubblico, ivi compresi quelli relativialla cella da cui una chiamata di telefonia mobile ha origine o nella quale siconclude;

d) per traffico telefonico: le chiamate telefoniche,incluse le chiamate vocali, di messaggeria vocale, in conferenza e quellebasate sulla trasmissione dati, purche' fornite da un gestore di telefonia, iservizi supplementari, inclusi l'inoltro e il trasferimento di chiamata, lamessaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve,servizi mediali avanzati e servizi multimediali;

e) per chiamata senza risposta: la connessioneistituita da un servizio telefonico accessibile al pubblico, non seguita daun'effettiva comunicazione, in quanto il destinatario non ha risposto ovvero vie' stato un intervento del gestore della rete;

f) per identificativo dell'utente: l'identificativounico assegnato a una persona al momento dell'abbonamento o dell'iscrizionepresso un servizio di accesso internet o un servizio di comunicazione internet;

g) per indirizzo di protocollo internet (IP)univocamente assegnato: indirizzo di protocollo (IP) che consentel'identificazione diretta dell'abbonato o utente che effettua comunicazionisulla rete pubblica.

2. Ai fini del presente decreto si applicano,altresi', le ulteriori definizioni, non ricomprese nel comma 1, elencatenell'articolo 4 del decreto legislativo 30 giugno 2003, n. 196, e successivemodificazioni, recante codice in materia di protezione dei dati personali, diseguito denominato: «Codice».

 

Art. 2.

Modifiche all'articolo 132 del Codice

1. All'articolo 132 del Codice sono apportate leseguenti modificazioni:

a) al comma 1, dopo le parole: «ventiquattro mesi»sono inserite le seguenti: «dalla data della comunicazione», le parole: «,inclusi quelli concernenti le chiamate senza risposta,» sono soppresse e leparole: «sei mesi» sono sostituite dalle seguenti: «dodici mesi dalla datadella comunicazione»;

b) dopo il comma 1 e' inserito il seguente: «1-bis.I dati relativi alle chiamate senza risposta, trattati temporaneamente da partedei fornitori di servizi di comunicazione elettronica accessibili al pubblicooppure di una rete pubblica di comunicazione, sono conservati per trentagiorni.»;

c) i commi 2, 4 e 4-bis sono abrogati;

d) il comma 5 e' cosi' modificato:

1) all'alinea, le parole: «ai commi 1 e 2» sonosostituite dalle seguenti: «al comma 1» e le parole: «volti anche a» sonosostituite dalle seguenti: «volti a garantire che i dati conservati possiedanoi medesimi requisiti di qualita', sicurezza e protezione dei dati in rete,nonche' a»;

2) le lettere b) e c) sono soppresse;

3) alla lettera d) le parole: «ai commi 1 e 2» sonosostituite dalle seguenti: «al comma 1».

 

Art. 3.

Categorie di dati da conservare per gli operatori ditelefonia e di comunicazione elettronica

1. Le categorie di dati da conservare per lefinalita' di cui all'articolo 132 del Codice sono le seguenti:

a) i dati necessari per rintracciare e identificarela fonte di una comunicazione:

1) per la telefonia di rete fissa e latelefonia mobile:

1.1 numero telefonico chiamante;

1.2 nome e indirizzo dell'abbonato odell'utente registrato;

2) per l'accesso internet:

2.1 nome e indirizzo dell'abbonato odell'utente registrato a cui al momento della comunicazione sono statiunivocamente assegnati l'indirizzo di protocollo internet (IP), unidentificativo di utente o un numero telefonico;

3) per la posta elettronica:

3.1 indirizzo IP utilizzato e indirizzodi posta elettronica ed eventuale ulteriore identificativo del mittente;

3.2 indirizzo IP e nome a dominiopienamente qualificato del mail exchanger host, nel caso della tecnologia SMTPovvero di qualsiasi tipologia di host relativo ad una diversa tecnologiautilizzata per la trasmissione della comunicazione;

4) per la telefonia, invio di fax, sms emms via internet:

4.1 indirizzo IP, numero telefonico edeventuale altro identificativo dell'utente chiamante;

4.2 dati anagrafici dell'utenteregistrato che ha effettuato la comunicazione;

b) i dati necessari per rintracciare e identificarela destinazione di una comunicazione:

1) per la telefonia di rete fissa e latelefonia mobile:

1.1 numero composto, ovvero il numero oi numeri chiamati e, nei casi che comportano servizi supplementari comel'inoltro o il trasferimento di chiamata, il numero o i numeri a cui lachiamata e' trasmessa;

1.2 nome e indirizzo dell'abbonato odell'utente registrato;

2) per la posta elettronica:

2.1 indirizzo di posta elettronica, edeventuale ulteriore identificativo, del destinatario della comunicazione;

2.2 indirizzo IP e nome a dominiopienamente qualificato del mail exchanger host (nel caso della tecnologiaSMTP), ovvero di qualsiasi tipologia di host (relativamente ad una diversatecnologia utilizzata), che ha provveduto alla consegna del messaggio;

2.3 indirizzo IP utilizzato per laricezione ovvero la consultazione dei messaggi di posta elettronica da partedel destinatario indipendentemente dalla tecnologia o dal protocolloutilizzato;

3) telefonia, invio di fax, sms e mmsvia internet:

3.1 indirizzo IP, numero telefonico edeventuale altro identificativo dell'utente chiamato;

3.2 dati anagrafici dell'utenteregistrato che ha ricevuto la comunicazione;

3.3 numero o numeri a cui la chiamata e'trasmessa, nei casi di servizi supplementari come l'inoltro o il trasferimentodi chiamata;

c) i dati necessari per determinare la data, l'ora ela durata di una comunicazione:

1) per la telefonia di rete fissa e latelefonia mobile, data e ora dell'inizio e della fine della comunicazione;

2) per l'accesso internet :

2.1 data e ora (GMT) della connessione edella disconnessione dell'utente del servizio di accesso internet, unitamenteall'indirizzo IP, dinamico o statico, univocamente assegnato dal fornitore diaccesso internet a una comunicazione e l'identificativo dell'abbonato odell'utente registrato;

3) per la posta elettronica:

3.1 data e ora (GMT) della connessione edella disconnessione dell'utente del servizio di posta elettronica su interneted indirizzo IP utilizzato, indipendentemente dalla tecnologia e dal protocolloimpiegato;

4) per la telefonia, invio di fax, sms emms via internet:

4.1 data e ora (GMT) della connessione edella disconnessione dell'utente del servizio utilizzato su internet edindirizzo IP impiegato, indipendentemente dalla tecnologia e dal protocollousato;

d) i dati necessari per determinare il tipo dicomunicazione:

1) per la telefonia di rete fissa e latelefonia mobile: il servizio telefonico utilizzato;

2) per la posta elettronica internet ela telefonia internet: il servizio internet utilizzato;

e) i dati necessari per determinare le attrezzaturedi comunicazione degli utenti o quello che si presume essere le loroattrezzature:

1) per la telefonia di rete fissa,numeri telefonici chiamanti e chiamati;

2) per la telefonia mobile:

2.1 numeri telefonici chiamanti echiamati;

2.2 International Mobile SubscriberIdentity (IMSI) del chiamante;

2.3 International Mobile EquipmentIdentity (IMEI) del chiamante;

2.4 l'IMSI del chiamato;

2.5 l'IMEI del chiamato;

2.6 nel caso dei servizi prepagatianonimi, la data e l'ora dell'attivazione iniziale della carta e l'etichetta diubicazione (Cell ID) dalla quale e' stata effettuata l'attivazione;

3) per l'accesso internet e telefonia,invio di fax, sms e mms via internet:

3.1 numero telefonico chiamante perl'accesso commutato (dial-up access);

3.2 digital subscriber line number (DSL)o un altro identificatore finale di chi e' all'origine della comunicazione;

f) i dati necessari per determinare l'ubicazionedelle apparecchiature di comunicazione mobile:

1) etichetta di ubicazione (Cell ID)all'inizio della comunicazione;

2) dati per identificare l'ubicazionegeografica della cella facendo riferimento alle loro etichette di ubicazione(Cell ID) nel periodo in cui vengono conservati i dati sulle comunicazioni.

2. Con decreto del Presidente del Consiglio deiMinistri o del Ministro delegato per la pubblica amministrazione el'innovazione, di concerto con i Ministri per le politiche europee, dellosviluppo economico, dell'interno, della giustizia, dell'economia e dellefinanze e della difesa, sentito il Garante per la protezione dei datipersonali, possono essere specificati, ove si renda necessario anche al finedell'adeguamento all'evoluzione tecnologica e nell'ambito delle categorie didati di cui alle lettere da a) ad f) del comma 1, i dati da conservare.

 

Art. 4.

Autorita' di controllo ed informazioni di tipostatistico

1. All'articolo 154 comma 1, lettera a), del Codice,sono aggiunte, infine, le parole: «e con riferimento alla conservazione deidati di traffico».

2. I fornitori di servizi di cui al presente decretoentro il 30 giugno, inviano annualmente al Ministero della giustizia, per ilsuccessivo inoltro alla Commissione europea, le informazioni relative:

a) al numero complessivo dei casi in cui sono stateforniti i dati relativi al traffico telefonico o telematico alle autorita'competenti conformemente alla legislazione nazionale applicabile;

b) al periodo di tempo trascorso fra la data dellamemorizzazione dei dati di traffico e quella della richiesta da parte delleautorita' competenti;

c) ai casi in cui non e' stato possibile soddisfarele richieste di accesso ai dati.

 

Art. 5.

Sanzioni

1. Dopo l'articolo 162 del Codice e' inserito ilseguente:

«Art. 162-bis. (Sanzioni in materia di conservazionedei dati di traffico). 1. Salvo che il fatto costituisca reato e salvo quantoprevisto dall'articolo 5, comma 2, del decreto legislativo di recepimento delladirettiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006,nel caso di violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis,si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro,che puo' essere aumentata sino al triplo in ragione delle condizioni economichedei responsabili della violazione.».

2. Salvo che il fatto costituisca reato, l'omessa ol'incompleta conservazione dei dati ai sensi dell'articolo 132, commi 1 e1-bis, del Codice, e' punita con la sanzione amministrativa pecuniaria da euro10.000 ad euro 50.000 che puo' essere aumentata fino al triplo in ragione dellecondizioni economiche dei responsabili della violazione. Nel caso diassegnazione di indirizzo IP che non consente l'identificazione univocadell'utente o abbonato si applica la sanzione amministrativa pecuniaria da5.000 euro a 50.000 euro, che puo' essere aumentata fino al triplo in ragionedelle condizioni economiche dei responsabili della violazione. Le violazionisono contestate e le sanzioni sono applicate dal Ministero dello sviluppo economico.

 

Art. 6.

Disposizioni transitorie e finali

1. Dall'attuazione del presente decreto non devonoderivare nuovi o maggiori oneri a carico della finanza pubblica.

2. I soggetti pubblici interessati provvedono agliadempimenti derivanti dall'attuazione del presente decreto con le risorseumane, strumentali e finanziarie disponibili a legislazione vigente.

3. La disposizione dell'articolo 132, comma 1-bis,del Codice, introdotta dall'articolo 2, comma 1, lettera b), ha effetto decorsitre mesi dalla data di entrata in vigore del presente decreto.

4. L'articolo 6, comma 4, del decreto-legge 27luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005,n. 155, e' abrogato.

5. I fornitori di servizi di comunicazioneelettronica accessibili al pubblico che offrono servizi di accesso a internet(Internet Acces Provider) assicurano la disponibilita' e l'effettiva univocita'degli indirizzi di protocollo internet entro novanta giorni dalla data dientrata in vigore del presente decreto.

Il presente decreto, munito del sigillo dello Stato,sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblicaitaliana. E' fatto obbligo a chiunque spetti di osservarlo e di farloosservare.

Dato a Roma, addi' 30 maggio 2008

 

NAPOLITANO

 

Berlusconi, Presidente del Consiglio dei Ministri

Ronchi, Ministro per le politiche europee

Brunetta, Ministro per la pubblica amministrazione el'innovazione

Frattini, Ministro degli affari esteri

Alfano, Ministro della giustizia

Tremonti, Ministro del-l'economia e delle finanze

Scajola, Ministro dello sviluppo economico

Maroni, Ministro del-l'interno

La Russa, Ministro della difesa

Visto,il Guardasigilli: Alfano