Proteggere i dati degli utenti e la riservatezza delle comunicazioni, garantendo al tempo stesso una cooperazione efficace con le autorità di polizia e giudiziarie, è una condizione essenziale per il funzionamento equilibrato della società digitale. Ma il quadro normativo attuale sulla conservazione dei dati presenta diverse criticità di conformità per gli operatori telco, che Connect Europe e Gsma hanno deciso di portare all’attenzione delle istituzioni comunitarie, in un position paper.
Indice degli argomenti
Un quadro frammentato, figlio di anni di cambiamenti
Negli ultimi due decenni le telco hanno dovuto adattarsi a numerose versioni degli obblighi di data retention: dalla Direttiva Ue del 2006, alla successiva sentenza della Corte di Giustizia dell’Unione Europea (Cgue), fino ai vari approcci sviluppati dai singoli Stati membri. Un percorso che ha comportato investimenti ingenti e costi operativi considerevoli per gli operatori.
Il risultato è una situazione fortemente frammentata: alcuni Paesi hanno un quadro giuridico in vigore, altri lo applicano solo parzialmente o non lo hanno affatto. Le definizioni di metadati e le tipologie di dati da conservare cambiano sensibilmente da Stato a Stato, così come i tempi di conservazione, che variano dai 6 ai 72 mesi. Questa disomogeneità rende difficile valutare in modo uniforme l’impatto delle norme – o della loro assenza – sull’industria europea delle telecomunicazioni.
Secondo Connect Europe e Gsma, se l’obiettivo dell’Ue è la semplificazione normativa, eventuali modifiche dovranno portare miglioramenti tangibili, evitando regole troppo prescrittive su aspetti operativi come il luogo o le modalità di conservazione dei dati, purché questi restino all’interno dell’Ue/See.
Costi economici ed energetici per le telco
L’impatto più significativo riguarda la differenza tra i dati conservati per finalità di business (in linea con il Gdpr e la Direttiva ePrivacy) e quelli richiesti dalle autorità a fini investigativi. Questa divergenza ha obbligato gli operatori ad acquistare nuove apparecchiature di archiviazione, a ridisegnare le architetture di sistema e ad assumere personale aggiuntivo, con costi elevati e continui.
C’è anche un aspetto ambientale: trattenere grandi volumi di dati comporta consumi energetici ingenti, con effetti diretti sull’impatto ambientale delle telco.
Per attività di business (fatturazione, manutenzione, sicurezza delle reti, scopi commerciali) i dati vengono mantenuti per periodi limitati, mentre altre tipologie – non rilevanti per l’operatività – vengono eliminate in tempi molto più brevi. Ma la situazione varia sensibilmente tra operatori e Paesi.
Il Gdpr, con il principio della minimizzazione dei dati, ha ulteriormente condizionato lo scenario, spingendo a ridurre i tempi di conservazione. Al tempo stesso, leggi nazionali divergenti obbligano le aziende a trattenere categorie di dati differenti, creando problemi soprattutto per i fornitori di servizi business transnazionali e, in misura ancora maggiore, per chi offre connettività M2M cross-border, dove lo stesso profilo SIM viene utilizzato in più Paesi con regole divergenti.
Richieste mirate e richieste massive: un nodo critico
Secondo Connect Europe e Gsma, la maggior parte delle richieste da parte delle autorità riguarda singoli abbonati o dispositivi. Tuttavia, stanno aumentando le richieste massive, che pongono sfide importanti: spesso le autorità sottovalutano la complessità e la quantità di dati coinvolti, con il rischio di generare inefficienze e aggravare gli oneri di compliance per gli operatori.
L’elaborazione di queste richieste richiede molto più tempo e risorse, con il rischio di rallentare la risposta ad altre richieste. Per questo motivo, le associazioni suggeriscono di limitare la portata delle richieste massive e di stabilire un sistema di priorità e code che consenta di bilanciare le esigenze di tutte le parti, sia a livello nazionale che internazionale.
Strumenti di accesso: standardizzazione e semplicità
L’accesso ai dati avviene generalmente tramite sistemi automatizzati e con l’utilizzo di Single Points of Contact (Spoc), pensati per gestire la maggior parte delle richieste. Queste interfacce, sottolineano gli operatori, devono restare facili da utilizzare e non comportare costosi adattamenti tecnologici.
Lo scambio si basa di norma sullo standard Etsi “request-response”, che accelera i tempi e riduce drasticamente i casi di rifiuto (ad esempio quando un’autorità contatta l’operatore sbagliato o quando i dati non sono più disponibili).
Proporzionalità e valutazione costi-benefici
Per Connect Europe e Gsma qualsiasi approccio alla data retention deve essere proporzionato e sostenibile. Dovrebbero essere conservati solo i dati già trattati e archiviati per scopi legittimi (fatturazione, sicurezza, manutenzione), evitando di introdurre obblighi aggiuntivi che avrebbero impatti tecnici e finanziari rilevanti.
È inoltre necessario distinguere tra le esigenze legate alle comunicazioni umane e quelle relative alle comunicazioni M2M, che hanno caratteristiche e volumi molto diversi.
Le raccomandazioni delle telco
Le raccomandazioni sono raccolte in un documento dettagliato, che evidenzia la necessità di una revisione pragmatica delle norme, capace di conciliare tre obiettivi fondamentali:
- tutela dei cittadini e della privacy;
- cooperazione efficace con le autorità giudiziarie e di polizia;
- sostenibilità economica, tecnica e ambientale per gli operatori.
“Solo un approccio proporzionato e armonizzato – concludono Connect Europe e Gsma – può garantire mercati digitali prevedibili e competitivi, senza compromettere né la sicurezza né l’innovazione.”
