Secondo la vigente normativa, dal gennaio 2008 il Garante per la Privacy obbliga gli internet service provider alla distruzione di tutti gli indirizzi IP, relativi alla navigazione degli utenti, archiviati da più di 60 giorni.
In sostanza il Garante ha già stabilito che debba prevalere la natura di contenuti sensibili secondari degli indirizzi Ip di destinazione, piuttosto che quella di dati di traffico. Eppure, con la decisione del Gip di Milano Fabrizio D’Arcangelo, che ha fatto disapplicare il provvedimento riguardante la cancellazione di tali dati, si risolleva il problema della sottile distinzione tra tutela dei dati personali e rintracciabilità dei responsabili di crimini commessi online.
Sulla questione interviene Luca Bolognini, presidente dell’Istituto Italiano per la Privacy (IIP) che da parecchi mesi chiede urgentemente un’evoluzione della normativa UE e italiana in materia. Il problema, secondo Bolognini, è proprio nella legge. «L’obbligo di conservazione, per fini d’accertamento e repressione dei reati – fa notare il presidente dell’IIP – dovrebbe essere esteso ai dati di traffico che siano anche, seppur non solo, informazioni di contenuto».
«Anche i content providers dovrebbero essere sottoposti ai medesimi obblighi di conservazione ora previsti per i soli fornitori di servizi di comunicazione elettronica», aggiunge Bolognini. «Come Istituto, il nostro obiettivo – conclude – è contribuire a salvaguardare la privacy dei cittadini, ma senza garanzie di rintracciabilità dei responsabili di reati on line diventa impossibile anche proteggere i dati personali degli utenti e si arriva al paradosso di tutelare i delinquenti anzichè le vittime».
Secondo il Gip Fabrizio D?Arcangelo, il Garante della privacy non avrebbe alcun requisito che ne conferisca l?autorità per imporre alle aziende di conservare gli indirizzi Ip per un tempo non superiore a 2 mesi. Dello stesso avviso il pm Francesco Cajani e con lui la Procura di Milano, che ha deciso che l?indirizzo IP non è da considerarsi un dato sensibile, se visto come dato esterno ad una comunicazione, e che comunque «il Garante ha competenza amministrativa sul caso e non giudiziaria».
Inoltre, fa notare il Pm, «Laddove permanga tale stato di fatto e di diritto, qualsiasi altra indagine informatica dovrà tendenzialmente scontare le medesime difficoltà, con pregiudizio non solo per l?accertamento dei fatti, ma anche per i diritti delle persone offese, tutte ugualmente meritevoli di tutela».