La segnalazione di Fleicher è inquietante sia per il testo del decreto citato che per le sue modalità di legiferazione.

 

Quanto alle modalità, la procedura seguita mi ha riportato in mente la legge italiana istitutiva della banca dati del DNA, legge in cui, con un colpo basso dell’ultimo minuto, è stato inserito, oltre all’obbligo di conservazione dei profili genetici tipizzati, anche quello di conservazione dei campioni biologici, con buona pace della tutela dei dati personali (…e delle raccomandazioni del Garante italiano sul punto!).

 

Quanto al merito, il decreto francese in questione (n° 2011-219 del 25 février 2011) era previsto - e dunque è stato emanato in attuazione - dal paragrafo II dell’art.6 della legge n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Per quel poco che so della legislazione francese e che mi è parso di capire cercando di ricostruire la vicenda, la loi 575/2004 è la legge che ha attuato in Francia la direttiva e-commerce, mentre la c.d. data retention prevista dalla direttiva Frattini è stata attuata, in Francia, con il decreto n°2006-358 du 24 mars 2006 (che ha modificato gli articoli R10-12 del Code des postes et des communications électroniques).

I dati cui fa riferimento il decreto 219/2011 non sono i dati di traffico, telefonico e telematico protetti dalla Frattini, ma i dati forniti dall’utente/abbonato al momento in cui stipula un contratto (per aprire un account/uploadare contenuti) con un fornitore di un servizio di connettività.

A stretto rigore giuridico, dunque, non trattandosi, a mio parere, di disposizioni coperte dalla direttiva 2006/24/CE, le argomentazioni sulla protezione dei dati personali sviluppate in tale contesto normativo non possono essere calate sul decreto in questione.

Ma se la Frattini non si applica, la data protection qui comunque urla!!!

Il decreto prevede a carico degli ISP (sia access che content) l’obbligo di chiedere e conservare tutta una serie di informazioni (dati anagrafici, ragione sociale, indirizzo e-mail, pseudonimo utilizzato, numeri di telefono, identificativo -?- … e password) relativi agli utenti, laddove il par.II dell’art.6 della L.575/2004 faceva solo riferimento ad un obbligo di conservazione dei dati de nature à permettre l’identification.

Ed ancora.

È legittimo che l’Autorità Giudiziaria possa avere accesso a tali dati (in Italia è prassi comune che la Procura richieda agli ISP con un ordine ex art.256 c.p.p. di esibire i dati “contrattuali” relativi ad un suo utente sottoposto ad indagini) ma il decreto francese va molto più lontano perché non lascia autonomia agli ISP, stabilendo a priori quali dati debba richiedere e conservare, e per quanto tempo.

 

Il decreto è dunque, senza dubbio, fortemente lesivo del diritto alla protezione dei dati personali.

Oltre al fatto che pone in capo agli intermediari oneri di “sorveglianza” mediata.

 

Un caro saluto.

Monica

 

 

 

France re-writes the rules of data retention

When Europe introduced a Data Retention Directive in 2006, it struck a very very careful political and legal balance between the interests of privacy and the interests of Law Enforcement/ Government access to data. The core distinction of the laws was to impose an obligation on service providers to retain and produce traffic data relating to communications, but to exclude contents of communications. Notwithstanding this careful balance, the Directive has always been highly controversial. There has been a long debate about whether this Directive, and the balance it struck, is Constitutional under national privacy laws, and indeed, last year its German-implementation was held un-constitutional by the German Constitutional Court.

 

Surprisingly, very few people have noticed what just happened in France. The law (decree, technically) adopted a few days ago in France up-ended the careful political/legal balance of the Directive by inserting one little word: "passwords". In other words, passwords are added to the list of "traffic data" that ISPs have to retain and produce to the French police on demand. Interestingly, the version of the law that had been circulating for discussion in France for the last two years, and which was reviewed by the French privacy authority the CNIL and by industry associations, did not contain that little word "password". The word "password" was inserted at the last minute, with no public or privacy review, as far as I can tell.

 

Stop to reflect for just a minute. Why would police want a password and what would they do with it? Well, obviously, they would use it to look at "content" of communications. In other words, a password would grant them access to all the things that the Directive explicitly chose not to subject to Data Retention in the interests of privacy.

 

All the years of work by privacy advocates has been chucked aside, in one little word. Well, three in French: "mot de passe".

 

I'm sure legal challenges to this French law will not be far behind. Curiously, only a few lone voices in the press or advocacy community seem to have noticed all this.

 

Dal blog di Peter Fleischer:

http://peterfleischer.blogspot.com/2011/03/france-re-writes-rules-of-data.html