Nel complesso mondo delle prestazioni di giustizia, come delineato dall’articolo 57 del Codice delle Comunicazioni Elettroniche, la richiesta dei tabulati di traffico a fini penali solleva delicate questioni coinvolgenti sia le autorità competenti che possono accedere a tali informazioni, sia gli operatori di telecomunicazioni che ne sono depositari e tenuti a renderli disponibili. Questo articolo si propone di esaminare dettagliatamente chi può legalmente richiedere tali dati, concentrandosi sulle situazioni di maggiore rilevanza e mettendo in luce gli impatti operativi derivanti da tali richieste. Non ci addentreremo in valutazioni giuridiche specifiche per ogni singola situazione in cui si possano richiedere i tabulati di traffico, ma forniremo piuttosto una panoramica generale dei principali requisiti e delle normative di riferimento, con particolare attenzione agli impatti operativi sulle aziende di telecomunicazioni.
1. Premessa
L’acquisizione dei tabulati del traffico telefonico è disciplinata dall’art.132 del decreto legislativo nr.196 del 2003 (anche nella versione aggiornata che ha recepito il GDPR), modificato da successive disposizioni di legge [1], che disciplina per il fornitore di servizi di comunicazioni elettroniche un trattamento dei dati ai fini di accertamento e repressione dei reati, quindi completamente svincolato da quello relativo della fatturazione.
È oramai noto, che per tabulati di traffico “storico” si intendono i dati esterni del traffico telefonico e che non si rientra concettualmente nell’intercettazione di comunicazioni e conversazioni; infatti non è integrato il requisito dell’intercettazione telefonica: la comunicazione in corso.
Il dispositivo della fattispecie in esame trova sede nella parte seconda del Codice Privacy dedicata alle disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri nonché disposizioni per i trattamenti dei dati.
Il Capo I, del Titolo X, dell’indicata parte si occupano rispettivamente dei servizi di comunicazione elettronica e delle comunicazioni elettroniche.
Il riferimento in Italia per il “contenuto del dato esterno” dei tabulati di traffico storico è il Decreto Legislativo 30 maggio 2008, n. 109 “Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE”.
2. La riforma dell’art. 132 Codice Privacy
In seguito alla sentenza della Corte di Giustizia dell’Unione europea [2] che ha stabilito che l’acquisizione dei tabulati telefonici possa essere disposta solo dopo un vaglio giurisdizionale (o indipendente), è intervenuto il Governo con decreto-legge del 30 settembre 2021, n. 132 (singolare la coincidenza del n. del Decreto con l’articolo oggetto di modifica) con la specifica finalità di garantire l’acquisizione dei dati esterni alle comunicazioni (tabulato di traffico storico) nel rispetto dei principi sanciti dalla suddetta sentenza comunitaria [2].
La ratio del legislatore è stata quella di delimitare l’ingerenza nei diritti del singolo cittadino solo per fattispecie penali riconducibili a «forme gravi di criminalità», come peraltro sancito da pronunce degli organi giurisdizionali europei in argomento.
Per garantire tale livello di protezione nei confronti del cittadino, è stato predisposto un sistema di controllo analogo a quello già previsto e applicato per l’istituto delle intercettazioni telefoniche, il quale richiede che, al fine di poter procedere con tale prestazione, si rilevi necessaria l’autorizzazione proveniente da un’autorità giurisdizionale per il tramite di un decreto motivato da parte di questi, subordinandola alla presenza di indizi gravi e circoscrivendola al perseguimento di un elenco tassativo di reati.
a) I reati presupposto
Come accennato, infatti, sono state previste fattispecie di reato tassative che consentono di accedere ai dati di traffico storico. Dall’elenco dei reati è evidente come il Governo abbia previsto un criterio sia quantitativo che qualitativo: «reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi», con il presupposto, inoltre, che vi siano «sufficienti indizi di reato» e la «rilevanza ai fini della prosecuzione delle indagini».
Si noti come la scelta del legislatore di ricondurre tali «indizi» al requisito di “sufficienza”, conferma la non completa assimilazione del 132 all’intercettazione per la quale è, viceversa, richiesta la “gravità” del quadro indiziario.
b) L’organo titolare del potere autorizzatorio
È stato assegnato al Giudice il potere di autorizzare l’acquisizione delle informazioni di traffico telefonico e telematico.
Il nuovo art. 132 comma 3, sposta il controllo (preventivo) sulle richieste di dati di traffico storico (telefonico e telematico) al Giudice, in luogo del PM, che provvederà con decreto motivato ad autorizzare quest’ultimo all’acquisizione dei dati di traffico. Per quanto riguarda la natura giuridica del decreto, va intesa come “autorizzazione” del Giudice al PM che non ha un potere diretto e libero di richiedere i dati di traffico. In tal senso, il decreto rimuove un limite legale consentendo al PM di procedere con l’acquisizione dei dati. [3].
Nella procedura di urgenza prevista dal comma 3 bis dell’art.132, il decreto emesso dal PM necessita di “convalida” del Giudice che ex-post autorizzerà (o meno) l’atto di acquisizione del PM.
È importante sottolineare, infatti, che in caso di mancata autorizzazione da parte del Giudice, i dati di traffico risulteranno inutilizzabili in tutta la fase procedimentale.
c) I soggetti titolati a richiedere i dati di traffico
I soggetti che possono richiedere i tabulati telefonici, nella nuova formulazione del terzo comma dell’art. 132 Codice Privacy sono, oltre che al Pubblico Ministero, il «difensore dell’imputato, la persona sottoposta a indagini, la persona offesa e le altre parti private» che dovranno richiedere l’autorizzazione, preventiva, al Giudice, senza passare per il tramite del PM che potrà legittimamente rifiutarsi di dare seguito alla loro richiesta, potendo provvedere in autonomia la stessa parte istante [3].
Dalla formulazione del nuovo art. 132, si può ritenere che il Governo abbia implicitamente escluso la possibilità, in precedenza espressamente riconosciuta all’avvocato di parte di richiedere direttamente all’operatore telefonico i dati relativi alle utenze intestate al proprio assistito, con le modalità previste dall’art. 391-quater c.p.p..
Anche per il “privato”, che precedentemente alla riforma del 132 Codice Privacy, poteva richiedere direttamente all’Operatore TLC l’accesso ai dati di traffico storico per finalità “penali” ai sensi dell’art. 15 GDPR, con la riforma non potrà più chiedere direttamente all’Operatore l’acquisizione dei dati di traffico, se non rivolgendosi preventivamente al Giudice per richiederne l’autorizzazione.
d) La cd. procedura d’urgenza
Come già evidenziato, il Governo ha reintegrato una procedura di urgenza, seguendo il modello dell’articolo 267, comma 2, del Codice di Procedura Penale, tramite l’introduzione del nuovo comma 3-bis dell’articolo 132 del Codice Privacy. Questa procedura consente al Pubblico Ministero di ordinare direttamente l’acquisizione dei tabulati telefonici presso l’operatore telefonico, qualora esistano ragioni di urgenza. Tuttavia, tale decisione richiede la convalida successiva da parte del Giudice.
e) Impatti lato Operatori di TLC
- La valutazione di merito
La nuova disciplina del 132, semplifica la gestione da parte dell’Operatore TLC delle richieste provenienti dalle parti interessate (PM, difensore, indagato, parte offesa e parti private) che possono richiedere il tabulato, in quanto la valutazione di merito della richiesta, spetta interamente al Giudice.
Prima della riforma, il 3° comma dell’art. 132 prevedeva che “Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. ….. “. Questo conferiva al gestore dei dati il compito di valutare le motivazioni del decreto, in particolare per le richieste di traffico che superavano la retention ordinaria e rientravano nelle fattispecie penali previste dall’articolo 24 della legge 20 novembre 2017, n. 167, che stabiliva una retention di 72 mesi per il traffico telefonico, telematico e per le chiamate senza risposta.
Anche per quanto riguarda le istanze che pervenivano direttamente agli Operatori da parte degli avvocati ai sensi dell’art. 391 quater c.p.p. (“Il difensore dell’imputato …… può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all’articolo 8, comma 2, lettera f), per il traffico entrante”), veniva posta la responsabilità agli Operatori TLC di valutare se “dalla mancata fornitura del tabulato di traffico storico potesse derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397”.
- Ostensione autorizzazione del Giudice
Con riferimento alla modalità in cui la parte richiedente (pubblica o privata) dovrà provvedere all’acquisizione dei tabulati e quindi se debba o meno procedere a notificare all’Operatore TLC, in forma integrale o eventualmente “omissata”, anche il decreto autorizzativo del giudice onde evitare il disvelamento di dati riservati o notizie secretate (quali i nominativi degli indagati, l’oggetto delle investigazioni e le motivazioni espresse sulla rilevanza indiziaria), come evidenziato dalla Relazione 67/2001 dell’Ufficio del Massimario e del Ruolo della Suprema Corte di Cassazione, ci si può riferire al modello del decreto esecutivo di cui all’art. 267, comma 3, c. p. p., il P.M. (ovvero il difensore istante), una volta ottenuta l’autorizzazione all’acquisizione dei dati di traffico telefonico o telematico, trasmetterà agli Operatori TLC (soltanto) il proprio provvedimento (istanza), corredato di eventuale missiva, ove menzionerà, sotto la propria responsabilità, l’intervenuta autorizzazione del giudice.
Nel caso nella richiesta del PM o del difensore non vi sia menzione dell’autorizzazione del giudice (per la procedura ordinaria di cui all’art. 132 co. 3 Cod. Priv.), è opportuno richiedere integrazione della richiesta, nella quale andrà data evidenza dell’autorizzazione ricevuta dal Giudice.
Per i provvedimenti di urgenza ex art. 132 co. 3 bis, per i quali l’autorizzazione è successiva all’emissione del decreto “motivato” di urgenza del PM, che dovrebbe (il condizionale è d’obbligo non essendoci un termine entro il quale procedere alla notifica) essere notificato almeno entro le 48 ore all’Operatore (altrimenti non si giustifica l’emissione di urgenza del decreto), quest’ultimo non dovrà fare alcuna verifica sulla motivazione del decreto di urgenza, il quale in caso di mancanza o carenza di motivazione, sarà sanato dall’eventuale autorizzazione (convalida) del Giudice.
Riteniamo che anche per i casi in cui il decreto di urgenza venga notificato all’Operatore di TLC oltre le 48 dall’emissione, non dovrà essere richiesta al PM l’ostensione della convalida del Giudice o comunicazione di avvenuta convalida.
A nostro avviso, viceversa, per eventuali istanze provenienti all’Operatore TLC da parti diverse dal PM e dal difensore, è preferibile richiedere copia dell’autorizzazione del Giudice, eventualmente chiedendo di oscurare le parti ritenute dall’istante riservate.
3. Indagini Preventive
La novella dell’art. 132 Codice Privacy e quindi le modalità di acquisizione dei tabulati di traffico con l’autorizzazione (preventiva o ex post) del Giudice, non si applica al procedimento di acquisizione dei tabulati ai fini di “prevenzione” dei delitti di cui agli art. 407, co. 2 lett. a) n. 4 e 51, co. 3 bis C.P.P., rispetto al quale è confermata la disciplina speciale di cui all’art. 226, co 1, 3 bis e 4 disp. att. cod. proc. pen., secondo il quale è il Procuratore generale presso la Corte di Appello di Roma ovvero i procuratori distrettuali a dover autorizzare (in piena analogia con quanto accade nell’ambito delle intercettazioni preventive) la conservazione dei dati (comma 3 bis), nonché il tracciamento delle comunicazioni telefoniche e telematiche e l’acquisizione dei dati esterni relativi alle suddette comunicazioni ed ogni ulteriore informazione utile in possesso degli Operatori di TLC (comma 4) [3]
Non ravvisiamo particolari impatti lato Operatore TLC, che si vedrà notificare un Decreto di acquisizione emesso dai soggetti sopra menzionati.
4. L’art. 132 comma 4- ter (Il c.d. Congelamento)
L’articolo 10 della L 18 marzo 2008, n. 48 che ha ratificato la Convenzione di Budapest del 23/11/2001 sulla Criminalità Informatica, ha introdotto un’importante modifica all’articolo 132 comma 4 ter del Codice Privacy [4] e che riguarda il cd “congelamento” dei (soli) dati di traffico telematico per ragioni urgenti (esclusi i contenuti) che andranno conservati e protetti, a cura dell’Operatore TLC, per un periodo massimo di 90 giorni prorogabile per complessivi 6 mesi, dietro ordine del Ministro dell’interno o, su sua delega, dei responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei Carabinieri e del Corpo della Guardia di Finanza e delle Agenzie delle Informazioni.
Questa modifica conferisce alle forze di polizia e alle Agenzie delle Informazioni un potere considerevole, limitato a casi eccezionali ed urgenti che coinvolgono indagini e intercettazioni preventive come definite dall’articolo 226 del decreto legislativo n. 271 del 1989. Tuttavia la norma aggiunge una formula forse ambigua poiché, pur menzionando “finalità di accertamento e repressione di specifici reati“, non procede ad alcuna specificazione di questi nel testo novellato.
Avere un testo con ipotesi di reato non espressamente indicate, significa poter applicare di fatto il comma 4 ter anche a reati diversi da quelli di cui alla convenzione sul cybercrime, diversi da quelli previsti dall’art. 132 Codice Privacy in quanto specificati a posteriori da parte dell’Autorità Giudiziaria.
Il provvedimento disciplina la sola “conservazione e protezione del dato” con breve scadenza (massimo sei mesi), vincolando al segreto assoluto l’Operatore. I provvedimenti (di conservazione) emessi ai sensi del comma 4- ter, sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al Pubblico Ministero del luogo di esecuzione (quindi può essere un PM diverso rispetto a quello che ha eventualmente in carico il procedimento penale) il quale, se ne ricorrono i presupposti, li convalida e in caso di mancata convalida, il provvedimento perde di efficacia.
Anche se dalla lettura del testo non è chiaro se il congelamento per complessivi 6 mesi possa derogare il limite massimo di tempo di conservazione del file di LOG informatico (12 mesi in via ordinaria nella stesura finale del 132 Codice Privacy che attua la direttiva Frattini, o dei 6 anni previsti dall’art. 24 della Legge Europea 2017 – Entrata in vigore del provvedimento: 12/12/2017), possiamo ritenere che i 6 mesi non possano derogare al periodo massimo di retention (12 mesi o 6 anni), in quanto il termine previsto dalla citata Legge Europea è termine perentorio. Inoltre il Provvedimento del Garante Privacy del 2008 (Sicurezza dei dati di traffico telefonico e telematico”) prevede, al Punto 7.5, la cancellazione dei dati di traffico dai sistemi di retention:
“allo scadere dei termini previsti dalle disposizioni vigenti (n.d.r. quindi dei 6 anni)..3, i dati di traffico sono resi non disponibili per le elaborazioni dei sistemi informativi e le relative consultazioni; sono altresì cancellati o resi anonimi senza alcun ritardo, in tempi tecnicamente compatibili con l’esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti, nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente, documentando tali operazioni al più tardi entro trenta giorni successivi alla scadenza dei termini di cui all’art. 132 del Codice”.
Elementi impattanti scaturiti dalla novella legislativa nei confronti dell’Operatore riguardano principalmente i processi interni alle modalità di conservazione dei dati di traffico telematico “congelati”, specialmente per i casi in cui i dati di traffico telematico sono prossimi alla cancellazione per superamento dei termini massimi di retention (72 mesi).
L’Operatore TLC dovrebbe attivare meccanismi per memorizzare (e proteggere) i dati richiesti sui sistemi dedicati alle attività di repressione dei reati non appena la richiesta è acquisita, e poterli successivamente fornire tramite una specifica richiesta formulata ai sensi del novellato art. 132. In assenza di una richiesta di acquisizione da parte dell’Autorità Giudiziaria, i dati “congelati” devono essere cancellati.
In alternativa (vedi anche art. 254 bis c.p.p. – [5]), le informazioni potranno essere memorizzate su supporti informatici mobili, per i quali, però, dovranno essere adottati i necessari meccanismi che consentono di garantire l’integrità del dato (es. algoritmi di hashing), la sua conservazione in luoghi sicuri e protetti e, in caso di mancata acquisizione da parte dell’AG, andranno osservate le normative in tema di cancellazione dei dati o della distruzione del supporto informatico (es. normativa DIN 66399).
È opportuno che una volta “congelati” i dati, l’Operatore di TLC li conservi non oltre i termini di conservazione indicati nel provvedimento (e comunque per massimo 90 giorni prorogabili complessivamente a 6 mesi). A tal fine, se i dati non sono stati ancora acquisiti, potrebbe essere opportuno avvisare il richiedente (Polizia Giudiziaria) alcuni giorni prima della scadenza del termine di conservazione, sollecitando un riscontro; in mancanza del quale, si provvederà alla cancellazione dei dati.
5. Regolamento E-Evidence – EPOC-PR Ordine di Conservazione (altro caso del c.d. “congelamento”)
Come evidenziato nei nostri precedenti articoli pubblicati su Sicurezza e Giustizia (https://www.sicurezzaegiustizia.com/il-regolamento-ue-sulla-e-evidence/, https://www.sicurezzaegiustizia.com/principali-impatti-sulle-societa-telco-per-il-regolamento-e-evidence/) riguardanti il Regolamento E-Evidence che disciplina l’accesso transfrontaliero delle prove digitali tra le quali possiamo annoverare i tabulati di traffico storico, è consentita analoga fattispecie a quella dell’art. 132 co. 4 ter, con il quale attraverso un Ordine di Conservazione (EPOC-PR) che dispone la conservazione di prove elettroniche (quindi anche tabulati di traffico storico sia telefonico che telematico) ai fini di una richiesta di produzione successiva, EPOC-PR emesso e/o convalidato da un’autorità giudiziaria di uno Stato membro (di emissione).
Nello specifico, tale Ordine, può essere emesso da un giudice, un organo giurisdizionale o un magistrato inquirente competente nel caso interessato, o qualsiasi altra Autorità competente definita dallo Stato di emissione, previo esame di un giudice, un organo giurisdizionale o un magistrato inquirente o un pubblico ministero nello Stato di emissione.
Scopo dell’EPOC-PR è quindi quello di impedire la rimozione, la cancellazione o la modifica dei dati, in attesa di richiederne l’acquisizione successivamente tramite un EPOC. È indubbio il carattere strumentale teso a congelare i dati in un determinato momento e evitare così che vengano cancellati in attesa dell’emissione dell’EPOC o di un OEI (Ordine Europeo di Indagine).
Questa disciplina che ha come obiettivo quello di conservare un dato (in questo caso un tabulato di traffico) sino a successiva richiesta di produzione, è similare a quella dell’art. 132 co. 4 ter del Codice Privacy (vedi precedente Cap. 3) ma ha una più marcata criticità con riferimento al periodo nel quale l’Operatore TLC deve tenere conservati i dati, in quanto nel Regolamento non è previsto un termine massimo di conservazione (interpretabile anche sine die).
Sarebbe infatti stata sicuramente più efficace la previsione all’interno del paragrafo 2 dell’art. 11 del Regolamento, di un termine massimo entro cui l’Autorità di emissione avrebbe dovuto notificare l’EPOC, al superamento del quale sarebbe dovuto decadere l’obbligo previsto in capo all’Operatore TLC di conservazione dei dati, con conseguente possibilità di cancellazione degli stessi.
Tale termine costituirebbe un sicuro deterrente alle ipotesi, seppur remote, di eccessivo lassismo da parte delle Autorità estera di emissione. La formula scelta dal legislatore comunitario, invece, lascia aperta la possibilità che i dati rimangano conservati per un periodo tale che, in alcuni casi, potrebbe contrastare con i principi fondanti del trattamento dei dati (i.e. Principio di minimizzazione dei dati sanciti dal GDPR).
Per gli impatti lato Operatore TLC, rimandiamo alla lettura dei su citati articoli.
6. Regolamento E- Evidence – EPOC Ordine di produzione
Come già detto al Capitolo 4, nei precedenti articoli su Sicurezza e Giustizia, abbiamo dato evidenza che tra le prove digitali acquisibili tramite un Ordine di Produzione (EPOC), possiamo annoverare i tabulati di traffico storico.
Attraverso tale ordine viene consentito alle Autorità di accedere direttamente ai dati conservati dal fornitore del servizio, indipendentemente dal luogo in questi si trovino.
Gli ordini di produzione (EPOC) permetteranno alle Autorità Giudiziarie di uno Stato membro, di chiedere direttamente l’accesso alle prove elettroniche conservate da un prestatore di servizi stabilito o rappresentato in un altro Stato membro.
Quest’ultimo dovrà rispondere entro il termine massimo di 10 giorni dalla richiesta (notifica) o, in caso di emergenza, entro 8 ore.
Per i dati di traffico storico, il Regolamento prevede che l’organo preposto all’emissione dell’EPOC può essere, un organo giurisdizionale (inteso, quest’ultimo, secondo la definizione comunitaria), un magistrato inquirente competente nel caso interessato o qualsiasi altra Autorità competente definita dallo Stato di emissione, previo esame di un giudice, un organo giurisdizionale o un magistrato inquirente nello Stato di emissione
Tale tipologia di Ordine (EPOC) esula dalla disciplina prevista dall’art. 132 Codice Privacy in quanto regime speciale rispetto al sistema previsto dal citato art. 132 e quindi l’Autorità straniera non dovrà richiedere autorizzazione al Giudice (ex ante o ex post).
L’Operatore di TLC, pertanto, riceverà direttamente dall’AG straniera l’ordine di consegnare il tabulato di traffico purché effettuata nel rispetto di quanto previsto dal regolamento E-Evidence (per il quale rimando ai due miei citati articoli), senza dover richiedere l’autorizzazione al Giudice italiano.
Per gli impatti lato Operatore TLC, rimandiamo alla lettura dei su citati articoli.
7. OEI Ordine Europeo d’Indagine
Con il decreto legislativo N. 108 del 21 giugno 2017, sono state emanate le norme per la trasposizione nell’ordinamento italiano dell’Ordine Europeo di Indagine, di cui alla Direttiva del Consiglio e del Parlamento europeo n. 41 del 2014. Il nuovo strumento di cooperazione è entrato in vigore il 28 luglio 2017.
L’acquisizione di tabulati di traffico tramite l’Ordine Europeo d’Indagine (OEI) rappresenta il processo attraverso il quale le autorità investigative di uno Stato membro dell’Unione Europea, richiedono dati di traffico relativi alle comunicazioni elettroniche da un altro Stato membro, nell’ambito di indagini penali.
Esaminiamo gli articoli di interesse, ed in particolare:
Art. 25 Richieste di documentazione inerente alle telecomunicazioni
- Il procuratore della Repubblica dà esecuzione all’ordine di indagine finalizzato all’acquisizione dei dati esterni relativi alle comunicazioni telefoniche e telematiche con le forme e le modalità dell’articolo 256 del codice di procedura penale.
Art. 5 Intervento e poteri di controllo del giudice 1. Quando l’autorità di emissione chiede che l’atto sia compiuto dal giudice o quando l’atto richiesto deve essere compiuto, secondo la legge italiana, dal giudice, il procuratore della Repubblica riconosce l’ordine di indagine e fa richiesta di esecuzione al giudice per le indagini preliminari. 2. Il giudice, ricevuta la richiesta, autorizza l’esecuzione previo accertamento delle condizioni per il riconoscimento dell’ordine di indagine. 3. Se non diversamente disposto, il giudice provvede all’esecuzione in camera di consiglio ai sensi dell’articolo 127 del codice di procedura penale, salva l’osservanza delle forme espressamente richieste dall’autorità di emissione, sempre che non siano contrarie ai principi dell’ordinamento giuridico dello Stato.
Dalla disamina dei citati articoli, si evince che per l’art. 25 – rinviando alle previsioni dell’art. 256 c.p. p. in tema di ordine di esibizione di documenti che, come noto, non postulano l’intervento del giudice terzo e richiedono di norma una motivazione meno penetrante in tema di necessità investigativa di quella richiesta per le captazioni parrebbe quindi in primis -non è necessario l’intervento del giudice se non espressamente richiesto dall’autorità di emissione, fatto salvo per i casi in cui per l’atto richiesto deve essere compiuto, secondo la legge italiana, dal giudice (art. 5 D. Lgs. OEI), come previsto dal vigente art. 132 Cod. Priv.; quindi “…. il procuratore della Repubblica riconosce l’ordine di indagine e fa richiesta di esecuzione al giudice per le indagini preliminari ….”.
7) Commissione di Inchiesta Parlamentare
Vorremmo ora verificare in merito alla possibilità, da parte della Commissione di Inchiesta Parlamentare, di poter richiedere direttamente ai Gestori TLC i tabulati di traffico storico, senza dover ottenere una previa autorizzazione da parte dell’Autorità Giudiziaria (o giurisdizionale).
Tutto ciò rappresenterebbe, infatti, una deroga a quanto previsto dall’art. 132 del D.lgs. 196/2003 il quale sancisce che tali dati siano acquisiti presso l’Operatore TLC con decreto motivato del Giudice e solo per reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni o di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti ai fini della prosecuzione delle indagini.
a) Il Potere di Inchiesta
Al fine di rispondere adeguatamente al quesito, occorre ricordare in via preliminare come il potere d’inchiesta rientri nel novero degli strumenti di cui le Camere dispongono al fine di esercitare la funzione conoscitiva e ispettiva.
Nell’ordinamento italiano, quello d’inchiesta è un potere “strumentale” ad altre funzioni del Parlamento, come quella legislativa o quella di indirizzo del Governo.
Le inchieste possono essere definite “legislative” o “politiche”:
- del primo tipo, se istituite per indagare certi fenomeni al fine di emanare una particolare legislazione su di essi o riformare quella vigente, sempre se risulterà necessario;
- del secondo tipo, se l’inchiesta mira a conoscere l’operato del Governo o della Pubblica Amministrazione in certe, precise circostanze per poi considerare l’opportunità di un’azione d’indirizzo verso l’Esecutivo oppure, nei casi più gravi, di una mozione di sfiducia.
b) Le Commissioni di Inchiesta
Le Commissioni di Inchiesta, insieme alle interrogazioni, alle interpellanze e alle indagini conoscitive, sono uno degli strumenti attraverso cui il Parlamento può esercitare la sua attività ispettiva.
La base normativa delle Commissioni di Inchiesta, si fonda in primis sull’art 82 della Costituzione e sui Regolamenti interni del Senato della Repubblica (artt. 162-163) e della Camera dei deputati (140 e ss.) e procedono alle indagini con gli stessi poteri e gli stessi limiti dell’Autorità Giudiziaria: possono, quindi, acquisire documenti e/o interrogare testimoni, anche in forma coattiva.
c) I Poteri delle Commissioni Parlamentari
Come accennato in premessa, i poteri di inchiesta delle Commissioni trovano la loro base normativa sull’art. 82 della Costituzione, il quale sancisce che “le commissioni d’inchiesta procedono alle indagini e agli esami con gli stessi poteri e le stesse limitazioni dell’autorità giudiziaria”.
L’articolo de quo, nel definire i poteri ed i limiti della Commissione di Inchiesta, opera quindi un parallelismo con i poteri dell’Autorità Giudiziaria tale da consentire alla Commissione di esperire di volta in volta ai mezzi più consoni e adeguati alla soluzione della tematica oggetto di indagine parlamentare.
d) Impatti lato Operatore
Dall’interpretazione letterale dell’art.82 cost, si evince chiaramente come le Commissioni possano procedere alle “indagini con gli stessi poteri e gli stessi limiti dell’Autorità Giudiziaria”.
Si tratta di un parallelismo inerenti ai poteri istruttori e coercitivi del giudice, e non ai poteri di giudizio e sanzionatori; l’articolo sancisce che alle Commissioni sono attribuiti i poteri di qualunque Autorità Giudiziaria (Civile, Penale, Amministrativa), ivi compresa, quindi, la possibilità di poter richiedere direttamente all’Operatore TLC i dati di traffico storico, senza la necessità di ricorrere ad un decreto autorizzativo dal giudice.
Peraltro, l’autonomia della Commissione di Inchiesta verrebbe meno se per i casi di richiesta di tabulati di traffico storico, questa dovesse richiedere preventiva autorizzazione al Giudice come previsto dal novellato art. 132 Codice Privacy, che peraltro si riferisce unicamente al Pubblico Ministero, al difensore dell’imputato, alla persona sottoposta a indagini, alla persona offesa e alle altre parti private.
8. Le richieste di tabulati di traffico nei casi di Persone Scomparse o per i c.d. “Salvataggi di vita umana”
In questo capitolo vorremmo approfondire le eventuali richieste che potrebbero pervenire agli Operatori di TLC da parte delle Forze di Polizia riguardanti i tabulati di traffico storico, quando queste richieste sono motivate da esigenze connesse al “salvataggio di vita umana” (ad esempio, persone scomparse o disperse).
Le Autorità di Pubblica Sicurezza, nel caso in cui debbano richiedere all’Operatore di TLC i dati di traffico relativi a utenze appartenenti a un soggetto in pericolo di vita, potrebbero effettuare la richiesta senza necessità di un Decreto emesso dall’Autorità Giudiziaria. Questo perché, nei casi di “salvataggio vita umana”, generalmente non si configura un reato (almeno nelle fasi iniziali di indagine, come nel caso di allontanamenti che successivamente potrebbero rivelarsi coattivi), quindi le richieste di tabulati non sono supportate da un Decreto dell’Autorità Giudiziaria, il quale può essere emesso solo per determinati reati ai sensi dell’art. 132 del Codice Privacy.
L’obiettivo è valutare se queste richieste, prive di Decreto, possano essere soddisfatte dall’Operatore di TLC o debbano essere respinte. È evidente che tale tipo di richiesta di traffico storico non è contemplato dalle attuali normative. Infatti, poiché l’art. 132 del Codice Privacy non prevede questa casistica, l’espletamento della richiesta in assenza di un Decreto non sarebbe consentito.
Anche la Legge 14 novembre 2012, n. 203 in materia di ricerca delle persone scomparse, non disciplina le tipologie di attività da svolgere. Infatti il comma 4 dell’art. 1, prevede:
- Ferme restando le competenze dell’autorità giudiziaria, l’ufficio di polizia che ha ricevuto la denuncia promuove l’immediato avvio delle ricerche e ne dà contestuale comunicazione al prefetto per il tempestivo e diretto coinvolgimento del commissario straordinario per le persone scomparse nominato ai sensi dell’articolo 11 della legge 23 agosto 1988, n. 400, e per le iniziative di competenza, da intraprendere anche con il concorso degli enti locali, del Corpo nazionale dei vigili del fuoco e del sistema di protezione civile, delle associazioni del volontariato sociale e di altri enti, anche privati, attivi nel territorio. Nell’ambito delle iniziative di propria competenza il prefetto valuta, altresì, sentiti l’autorità giudiziaria e i familiari della persona scomparsa, l’eventuale coinvolgimento degli organi di informazione, comprese le strutture specializzate, televisive e radiofoniche, che hanno una consolidata esperienza nella ricerca di informazioni sulle persone scomparse.
Inoltre il comma 6 prevede:
- Gli adempimenti dei pubblici uffici di cui al presente articolo sono realizzati secondo le norme già vigenti in materia, senza nuovi o maggiori oneri per la finanza pubblica.
Né tantomeno le “Linee guida per favorire la ricerca di persone scomparse” condivise con i rappresentanti del Tavolo Tecnico Interforze, istituito, a livello centrale, sulla base del Protocollo d’intesa dell’11 aprile 2008 tra il Commissario Straordinario del Governo per le persone scomparse e il Capo della Polizia – Direttore Generale della Pubblica Sicurezza, prevedono l’utilizzo dei tabulati di traffico né tantomeno, da quanto ci risulta, è contemplato sui documenti di pianificazione territoriale stilati a livello provinciale.
Tornando ora al quesito, il tabulato di traffico potrebbe essere richiesto, ad esempio, nei casi in cui altre prestazioni richieste agli Operatori di TLC, hanno dato esito negativo (es. positioning negativo per cellulare spento) in quanto potrebbero essere utili per rilevare l’ultima posizione geografica (Cell ID – cella telefonica) rilevata dalle ultimissime chiamate effettuate/ricevute (per verificare ad esempio se il soggetto da soccorrere sia eventualmente presso amici/parenti o conoscenti).
E’ indubbia la valenza dell’informazione per tali specifiche casistiche, ma non intravediamo possibilità di deroghe “certe” anche ricorrendo all’articolo 54 del Codice penale, rubricato “Stato di necessità”, il cui contenuto oltre a costituire un’autorizzazione ad operare contra legem, in quanto si procederebbe con la fornitura dei dati di traffico in assenza dei requisiti formali altrimenti richiesti, non costituirebbe una esimente per eventuali sanzioni applicabili all’Operatore di TLC, anche per richieste il cui dato è fortemente circoscritto alla necessità di un rischio grave, imminente o irreparabile per la salute e l’incolumità fisica dell’interessato.
Inoltre la mancanza di specifica normativa per tali richieste, lascerebbero in capo alle forze di Polizia determinarne i limiti (es. tabulato di traffico delle ultime 12, 24, 36 o 48 ore? o addirittura periodi più ampi) rimanendo in capo all’Operatore TLC la responsabilità di effettuarne la valutazione di merito.
Sulla tematica, anche il Garante Privacy ha emanato un Provvedimento (del 19 dicembre 2008 “Persone scomparse in montagna: si può localizzare il cellulare per rintracciarle”) con il quale ha consentito l’uso dei dati di localizzazione specificando inoltre, al punto 2), 3 cpv, che “…. se la richiesta rivolta all’operatore telefonico si limita a conoscere quanto sopra indicato (n.d.r. localizzazione), per le ragioni suesposte non vengono in considerazione “dati di traffico” telefonico e non si deve applicare la particolare disciplina che ne circoscrive l’accessibilità (artt. 123 e 132 del Codice Privacy)”.
Nel provvedimento pertanto, si fa riferimento ai soli dati di localizzazione e non ai dati di traffico per i quali si deve ricorrere alla disciplina sancita dagli artt. 123 e 132 Codice Privacy.
Inoltre, nel Provvedimento è riportato che “… possono essere comunicati solo i dati necessari all’attività di soccorso, ossia, in termini generali, quelli concernenti i ponti e le celle attivate e/o agganciate dal telefono mobile che risulti in uso alla persona dispersa”. A prosieguo il Garante rileva che “la comunicazione di questi dati da parte degli operatori di telefonia mobile non è naturalmente obbligatoria, ma è legittima e può risultare, specie se immediata, particolarmente utile per le persone disperse”.
A nostro avviso, sarebbe opportuno che gli Operatori di TLC si dotassero di specifiche convenzioni/protocolli d’intesa (da stipulare ad esempio con il Ministero dell’Interno e/o con il “Commissario straordinario di Governo per le persone scomparse” e con parere del Garante Privacy) attraverso i quali disciplinare le prestazioni da fornire e con quali modalità e poter così evitare anche eventuali potenziali usi non conformi di richieste formalmente fatte per esigenze di “salvataggio vita”, non correttamente valutate.
In assenza di una stipula di una Convenzione o Protocollo di Intesa, gli Operatori per non incorrere in potenziali violazioni, potrebbero prevedere un tabulato storico (voce e internet) di “localizzazione sintetico” ove andranno riportati i soli dati essenziali utili alle attività di localizzazione quali il n. cellulare target, la data e ora e il Cell-ID (dato di cella), per un periodo entro il massimo delle ultime 24 ore. Per questa fattispecie, potrebbe essere utile interpellare preventivamente il Garante Privacy per verificarne l’aderenza alla normativa privacy.
Viceversa, a nostro avviso, la fornitura di tabulati di traffico per tale fattispecie, quindi senza decreto, non essendo prevista da fonti normative (ricordiamoci che il GDPR stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica) potrebbe far incorrere l’Operatore TLC nella fattispecie di trattamento illecito di dati.
9. L’Articolo 254 bis c.p.p.
Vediamo adesso altra fattispecie di acquisizione di tabulati di traffico, prevista dall’articolo 254-bis c.p.p. che disciplina il sequestro probatorio dei dati detenuti presso i fornitori di servizi informatici, telematici o di telecomunicazioni, compresi i dati di traffico o di ubicazione. L’Autorità Giudiziaria, infatti, può disporre, con decreto motivato, il sequestro direttamente presso le società che erogano i servizi di connessione o di stoccaggio dei dati degli utenti.
È innegabile che tale fattispecie potrebbe generare delle perplessità raffrontandola con il 132 novellato, in quanto l’oggetto “acquisizione dei dati di traffico” è identico per i due istituti. Tale semplicistica similitudine, però porterebbe ad una conseguenza grave che potrebbe portare ad un superamento della puntuale disciplina sancita dall’art. 132, con la possibilità per il (solo) Pubblico Ministero (ovviamente essendo un sequestro la disciplina non è applicabile al difensore ed alle parti, come viceversa previste dal 132 Cod. Priv.) di poter accedere più agevolmente ai dati di traffico (telefonico e telematico). Il presunto conflitto tra le due disposizioni, è facilmente superabile in quanto è attribuita all’acquisizione prevista dal 254 bis, uno specifico ambito in quanto questi è finalizzato a disciplinare una forma di sequestro soggetta a regole stabilite dal c.p.p. (Capo III – Codice di procedura penale – Sequestri).
Il sequestro probatorio è un mezzo di ricerca della prova che soggiace ai normali limiti previsti dal Codice di procedura penale anche quando riguarda dati digitali o telematici: questi devono essere qualificati o come «corpo del reato», cioè le cose sulle quali o attraverso le quali il reato è stato commesso o ne costituiscono il prodotto, profitto o prezzo, oppure come «cose pertinenti al reato necessarie per l’accertamento dei fatti». [6]
a) Impatti lato Operatore
In una tale eventualità, l’Operatore riceverà direttamente presso i propri uffici un decreto di sequestro da parte dell’Autorità Giudiziari o da Ufficiali di Polizia Giudiziaria, i quali provvederanno ad acquisire i dati di traffico. Il sequestro potrà essere eseguito anche “a distanza”, mediante notifica del provvedimento del magistrato al fornitore di servizi.
La produzione dei dati avverrà esclusivamente tramite la consegna dei tabulati di traffico generati attraverso i sistemi dell’Operatore TLC che gestiscono la retention del traffico a fini penali. Tale modalità è certificata dai sistemi aziendali utilizzati per la gestione delle richieste ex art. 132 Cod. Priv.. I dati potranno anche essere riversati su supporto magnetico e poi consegnati alla Polizia Giudiziaria. Riteniamo che questo modo adempia al dispositivo del 254 bis, il quale prevede che l’Autorità Giudiziaria possa richiedere “… che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura (n.d.r. es. algoritmi di hashing) che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità…”.
10. Tabella riepilogativa
In tabella, abbiamo sintetizzato le casistiche riguardanti l’accesso ai dati di traffico sia per le situazioni di maggiore rilevanza sopra evidenziate, sia per altre situazioni di minore impatto.
RICHIEDENTE | NORMA CHE LEGITTIMA LA RICHIESTA | TIPOLOGIA TRAFFICO ACQUISIBILE | FINALITA’ | MODALITA’ ACQUISIZIONE TRAFFICO | PERIODO DI TRAFFICO RICHIEDIBILE | DATA BASE UTILIZZO |
Titolare utenza o suo delegato | Art. 15 GDPR | Telefonico uscente – entrante se per esigenze di fatturazione
Telematico |
Qualsiasi | Richiesta semplice con eventuale modulistica rilasciata dall’Operatore | Telefonico: max. 6 mesi
Telematico: max. 6 mesi |
Traffico usato per fatturazione/fini commerciali |
Titolare utenza o suo delegato | Art. 132 Cod. Privacy | Telefonico uscente/ENTRANTE Chiamate senza rispostaTelematico |
Accertamento e repressione di reati | Traffico acquisito solo con Decreto motivato del Giudice | Telefonico: max. 24/72* mesi Chiamate senza risposta: max. 30 giorni / 72* mesi Telematico: 12 mesi / 72* mesi |
Traffico dedicato all’accertamento e repressione reati |
Titolare utenza o suo delegato | Art. 123 e 124 co. 4 Cod. Privacy | Telefonico uscente/entrante e Telematico | Contestazione fattura | Richiesta semplice con eventuale modulistica rilasciata dall’Operatore | Telefonico: max. 6 mesi Telematico: max. 6 mesi |
Traffico usato per fatturazione/fini commerciali |
Titolare utenza o suo delegato | Art. 127 Cod. Privacy | Telefonico entrante | Chiamate di disturbo | Richiesta motivata del richiedente con eventuale modulistica rilasciata dall’Operatore | Sei mesi (nei 15 giorni in cui è inefficace la soppressione dell’identificazione della linea chiamante) | Traffico dedicato all’accertamento e repressione reati |
Difensore | Art. 132 co. 3 Cod. Privacy | Telefonico uscente/entrante Chiamate senza rispostaTelematico |
Difensive | Traffico acquisito solo con Decreto motivato del Giudice | Telefonico: max. 24/72* mesi Chiamate senza risposta: max. 30 giorni / 72* mesi Telematico: 12 mesi / 72* mesi |
Traffico dedicato all’accertamento e repressione reati |
Pubblico Ministero | Art. 132 co. 3 Cod. Privacy
Art. 132 co. 3 bis Cod. Privacy |
Telefonico uscente/entrante Chiamate senza risposta Telematico |
Accertamento e repressione di reati | Traffico acquisito solo con Decreto motivato del Giudice
Decreto urgenza PM |
Telefonico: max. 24/72* mesi Chiamate senza risposta: max. 30 giorni / 72* mesi Telematico: 12 mesi / 72* mesi |
Traffico dedicato all’accertamento e repressione reati |
Ministro interno o soggetti delegati | Art. 132 co. 4 ter, quater, quinquies Cod. Privacy | Telematico (Conservazione) | Investigazioni preventive ex art. 226 D. Lgs. 271/89, ovvero per accertamento e repressione reati specifici | Richiesta del richiedente | Telematico: 90 gg proroga sino max. 6 mesi | Traffico dedicato all’accertamento e repressione reati |
Indagini Preventive | art. 226 co. 1, 3 bis e 4 Disp. Attuazione c.p.p. | Telefonico uscente/entrante Chiamate senza risposta Telematico |
Prevenzione delitti di cui art. 407 co. 2lett. A) n. 4 e art. 51 co. 3 bis C.P.P. | Decreto Procuratore Generale Corte Appello di Roma o Procuratori distrettuali | Telefonico: max. 24/72* mesi Chiamate senza risposta: max. 30 giorni / 72* mesi Telematico: 12 mesi / 72* mesi |
Traffico dedicato all’accertamento e repressione reati |
Polizia Postale | Art. 1 co 2 D.M. 16/8/2005 | Telematico | Terrorismo internazionale | Richiesta PG con riferimento ad procedimento penale previa autorizzazione AG | Telematico: 12/72* mesi | Traffico dedicato all’accertamento e repressione reati |
CONSOB | Art. 187-octies co. 4 lett. b) del D.Lgs. 58/98 | Telefonico uscente/entrante Chiamate senza risposta Telematico |
Accertamento abuso di informazioni privilegiate e manipolazione mercato | Autorizzazione Procuratore Repubblica | Telefonico: max. 24 mesi Chiamate senza risposta: max. 30 giorni Telematico: 12 mesi |
Traffico dedicato all’accertamento e repressione reati |
Giudice civile, amministrativo o contabile | Art. 210 c.p.c. | Telefonico uscente/entrante
Telematico |
Civilistiche, amministrative o contabili | Richiesta richiedente facendo riferimento ad un procedimento civile, amministrativo o contabile | Telefonico / Telematico: 6 mesi, salvo maggior periodo in caso di conservazione per contestazione giudiziale | Traffico usato per fatturazione |
AGCOM Ispettorato Ministero (MIMIT) |
art. 123 co. 6 Cod. Privacy | Telefonico uscente/entrante
Telematico |
Presupposto di fatturazione | Risoluzione a controversia su fatturazione o interconnessione | Telefonico: max. 6 mesi Telematico: max. 6 mesi |
Traffico usato per fatturazione/fini commerciali |
RIFERIMENTI
[1] https://www.sicurezzaegiustizia.com/tabulati-di-traffico-storico-per-finalita-di-accertamento-e-repressione-dei-reati-caratteristiche-e-tempi-di-conservazione/ [2] Sentenza 2 marzo 2021, emessa nella causa C 746/18m la Corte di Giustizia dell’Unione Europea ha affermato che i tabulati telefonici di una persona indagata possono essere acquisiti dall’Autorità Giudiziaria solo in seguito a vaglio o autorizzazione di un’autorità indipendente o di un giudice terzo e imparziale. [3] Relazione n. 55 del 2021 dell’Ufficio del Massimario e del Ruolo – Corte Suprema di Cassazione [4] Art. 132 4-ter. Il Ministro dell’interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l’eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.424-quater. Il fornitore o l’operatore di servizi informatici o telematici cui è rivolto l’ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all’autorità richiedente l’assicurazione dell’adempimento. Il fornitore o l’operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all’ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità. In caso di violazione dell’obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell’articolo 326 del codice penale
4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia
[5] «Art. 254-bis. – (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni). –- L’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali».