← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 27 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
  • L'art. 132 disciplina la conservazione dei dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati.
  • Il termine è di 24 mesi per i dati di traffico telefonico e 12 mesi per il traffico telematico.
  • L'accesso ai dati richiede decreto motivato dell'autorità giudiziaria (PM o GIP).
  • Per i reati di terrorismo e mafia il termine si allunga a 72 mesi.
  • La CGUE (Tele2/Watson, Privacy International, La Quadrature du Net) ha più volte censurato la conservazione massiva e indifferenziata.
  • Il D.L. 132/2021 ha riformato la disciplina, restringendo l'accesso ai reati gravi.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. Fermo restando quanto previsto dall’articolo 123, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione.
Stesso numero, altri codici

Commento

La data retention nel sistema italiano

L'art. 132 del Codice Privacy disciplina la conservazione obbligatoria dei dati di traffico telefonico e telematico da parte degli operatori di comunicazioni elettroniche per finalità di accertamento e repressione dei reati. Si tratta di una norma di forte tensione con i diritti fondamentali alla riservatezza e alla protezione dei dati: la sua disciplina è stata oggetto di un dialogo continuo tra normativa nazionale, Direttiva 2006/24/CE (data retention), giurisprudenza CGUE (più volte intervenuta a censura) e Corte costituzionale italiana.

Termini di conservazione

I termini di conservazione sono distinti: a) dati di traffico telefonico (chiamate, durata, contatti, base station): 24 mesi; b) dati di traffico telematico (connessioni internet, log di accesso, IP assegnati): 12 mesi; c) dati di chiamate senza risposta: 30 giorni; d) per reati di terrorismo internazionale o nazionale, criminalità organizzata di tipo mafioso (art. 51, comma 3-bis e 3-quater c.p.p.): 72 mesi. La distinzione fra traffico telefonico e telematico riflette il diverso livello di intrusività dei dati.

L'accesso giudiziario: decreto motivato

L'accesso ai dati è subordinato a decreto motivato dell'autorità giudiziaria. La disciplina è stata profondamente riformata dal D.L. 30 settembre 2021, n. 132, convertito in L. 178/2021, dopo le sentenze CGUE Prokuratuur (C-746/18) e La Quadrature du Net. Le nuove regole: a) accesso solo per indagini su reati puniti con pena massima non inferiore a tre anni di reclusione, oltre a specifici reati indicati (estorsione, atti persecutori, minaccia con armi); b) decreto del GIP su richiesta motivata del PM; c) nei casi di urgenza il PM può autorizzare con convalida del GIP entro 48 ore.

Il dialogo con la CGUE: sentenze chiave

La giurisprudenza CGUE ha progressivamente eroso la legittimità della data retention indifferenziata: a) Digital Rights Ireland (C-293/12 del 2014) ha annullato la Direttiva 2006/24/CE; b) Tele2/Watson (C-203/15 del 2016) ha vietato la conservazione massiva e indifferenziata; c) La Quadrature du Net (C-511/18 del 2020) ha consentito la conservazione mirata e quella per ragioni di sicurezza nazionale; d) Commissioner of An Garda Síochána (C-140/20 del 2022) ha confermato i limiti. La sentenza Prokuratuur (C-746/18 del 2021) ha imposto il controllo giudiziario indipendente sull'accesso. L'Italia ha adeguato la sua disciplina con il D.L. 132/2021.

Coordinamento con le indagini

L'accesso ai tabulati è uno strumento centrale delle indagini penali italiane, soprattutto in materia di reati informatici, traffici, criminalità organizzata. La giurisprudenza ha chiarito: a) il decreto del GIP deve essere motivato in modo concreto sui fatti e sulla pertinenza dei dati richiesti (Cass. pen. n. 7842/2022); b) l'inosservanza delle nuove regole comporta inutilizzabilità delle prove (Cass. pen. SU n. 36380/2022); c) il PM può chiedere i tabulati anche in fase di indagini preliminari, sempre con decreto del GIP.

Tutela del cittadino e rimedi

Il cittadino può: a) presentare reclamo al Garante per uso illecito dei dati di traffico; b) far valere l'inutilizzabilità nel processo penale; c) chiedere risarcimento ex art. 82 GDPR e art. 2043 c.c. in caso di danno; d) impugnare il decreto del GIP davanti al Tribunale del riesame. Il Garante ha sanzionato operatori per data retention eccessiva, accesso non autorizzato di personale interno, mancata protezione dei sistemi. Casi notori: TIM 2018 (sanzione 27,8M per data retention oltre i termini); Vodafone 2020 per analogo motivo.

Casistica giurisprudenziale e CGUE

Sentenze chiave della CGUE sulla data retention: a) Digital Rights Ireland (C-293/12 del 2014): annullamento della Direttiva 2006/24/CE; b) Tele2/Watson (C-203/15 del 2016): divieto di conservazione massiva e indifferenziata; c) Privacy International (C-623/17): limitazioni anche per servizi di intelligence; d) La Quadrature du Net (C-511/18 del 2020): consentita conservazione mirata e per sicurezza nazionale; e) Prokuratuur (C-746/18 del 2021): controllo giudiziario indipendente sull'accesso. Cassazione italiana: a) Cass. SU n. 36380/2022 sull'inutilizzabilità dei tabulati acquisiti in violazione del D.L. 132/2021; b) Cass. n. 7842/2022 su motivazione del decreto GIP.

Il futuro: e-Evidence Regulation e quadro europeo

Il Regolamento UE 2023/1543 (e-Evidence) ha introdotto un quadro armonizzato per l'acquisizione transfrontaliera di prove elettroniche, incluse le comunicazioni elettroniche. Si affianca alla Direttiva 2023/1544 (rappresentante legale negli Stati membri). Entrato in vigore agosto 2026, modificherà la prassi italiana: i PM potranno chiedere direttamente a provider negli altri Stati membri (Google, Meta, Microsoft) l'acquisizione di dati di traffico e contenuti, secondo procedure armonizzate. Il bilanciamento con i diritti fondamentali resta cruciale: l'EDPB e i Garanti nazionali sono coinvolti nella supervisione.

Prassi e linee guida

Garante per la protezione dei dati personali

Garante per la protezione dei dati personali

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio indagato: tabulati telefonici

Tizio è indagato per truffa aggravata (reclusione massima 5 anni). Il PM chiede al GIP il decreto per l'accesso ai tabulati telefonici di 6 mesi prima del fatto. Verifica art. 132 post-D.L. 132/2021: reato sopra soglia (3 anni), decreto motivato del GIP, periodo necessario. L'acquisizione è legittima.

Caso 2: Caia operatore: data retention oltre termini

Caia Telecom conserva i tabulati telematici per 36 mesi anziché 12. Il Garante apre istruttoria, accerta la violazione, irroga sanzione di 10 milioni di euro (precedente TIM 2018) e ordina la cancellazione dei dati oltre i termini di legge.

Caso 3: Sempronio difensore: inutilizzabilità

Sempronio, difensore dell'imputato, contesta in giudizio l'acquisizione di tabulati avvenuta in violazione delle nuove regole post-D.L. 132/2021. Il Tribunale del riesame, applicando Cass. SU 36380/2022, dichiara inutilizzabili le prove e i risultati conseguiti.

Caso 4: Commento applicativo

L'art. 132 è uno dei punti di massima tensione tra esigenze investigative e diritti fondamentali. Il D.L. 132/2021 ha allineato l'Italia alla CGUE: accesso solo per reati gravi, decreto motivato del GIP, controllo giudiziario indipendente. Le violazioni dei termini di retention o delle regole d'accesso comportano sanzioni amministrative del Garante e inutilizzabilità nel processo.

Domande frequenti

Per quanto tempo si conservano i tabulati?

24 mesi per il traffico telefonico, 12 mesi per il traffico telematico, 30 giorni per chiamate senza risposta. Per reati di terrorismo o mafia: 72 mesi.

Chi può chiedere l'accesso ai tabulati?

L'autorità giudiziaria con decreto motivato del GIP, su richiesta del PM. Solo per indagini su reati con pena massima non inferiore a 3 anni o specifici reati elencati dalla legge (estorsione, atti persecutori, minaccia con armi).

Cosa è cambiato con il D.L. 132/2021?

Restringimento dei reati per cui è ammesso l'accesso (almeno 3 anni di pena), controllo del GIP obbligatorio (no più solo del PM), motivazione concreta sui fatti e pertinenza. È l'adeguamento alle sentenze CGUE Prokuratuur e La Quadrature du Net.

Cosa accade se l'accesso è illegittimo?

I dati sono inutilizzabili nel processo (Cass. SU n. 36380/2022). Possono inoltre conseguire sanzioni amministrative al Garante e responsabilità civile per danno.

L'operatore può cedere i tabulati a terzi commerciali?

No. I dati di traffico sono coperti dal segreto delle comunicazioni (art. 15 Cost.) e possono essere comunicati solo all'autorità giudiziaria con decreto. La cessione a terzi commerciali è illecita e penalmente rilevante (art. 167 del Codice).

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.