CONSIGLIO D'EUROPA - COMITATO DEI MINISTRI

RACCOMANDAZIONE N. R (95) 4
DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI
 RELATIVA ALLA PROTEZIONE DEI DATI A CARATTERE PERSONALE NELLA GESTIONE DEI SERVIZI DI TELECOMUNICAZIONE, CON PARTICOLARE RIGUARDO AI SERVIZI TELEFONICI
(adottata dal Comitato dei Ministri il 7/2/95)
(Traduzione non ufficiale)

 

Il Comitato dei Ministri, in virtù dell'articolo 15 (b) dello Statuto del Consiglio d'Europa,

Considerando che scopo del Consiglio d'Europa è di realizzare una unione più stretta fra i suoi membri;

Cosciente dell'utilizzazione crescente dell'informatica nella gestione dei servizi di telecomunicazione e dei vantaggi che gli utenti ricavano dagli sviluppi tecnologici, in particolare nella gestione dei servizi telefonici;

Nello spirito di favorire, in questo contesto, l'evoluzione della numerizzazione delle reti ed i conseguenti vantaggi che questa comporta per gli utenti dei servizi di telecomunicazione;

Stimando, tuttavia, che lo sviluppo tecnologico nella gestione delle telecomunicazioni, in particolare dei servizi telefonici, può comportare possibili rischi per la vita privata dell'utente così come possibili ostacoli alla sua libertà di comunicazione;

Riferendosi a questo proposito ad alcune nuove caratteristiche particolari della gestione dei servizi telefonici, quali, ad esempio l'identificazione del numero chiamante, il servizio di trasferimento di chiamata ed i telefoni mobili, così come i dispositivi di ricerca delle chiamate dolose e gli automatismi di chiamata;

Mettendo, inoltre, in evidenza i rischi per la vita privata e la libertà di comunicazione collegati all'ottenimento di fatture telefoniche con il dettaglio dei numeri chiamati;

Riconoscendo che le disposizioni della Convenzione per la protezione delle persone riguardo al trattamento automatizzato dei dati a carattere personale (Strasburgo, 1981, STE n. 108) si applicano alle attività di trattamento automatizzato dei dati fatte dai gestori di rete e da tutte le altre persone che forniscono servizi di telecomunicazione;

Stimando tuttavia opportuno precisare le disposizioni generali della convenzione per adeguarle alla raccolta ed al trattamento dei dati a carattere personale fatti dai gestori di rete e da tutte le altre persone che forniscono servizi di telecomunicazione;

Evidenziando, da ultimo, che i nuovi sviluppi intervenuti nei servizi di telecomunicazione sono soggetti al rispetto del diritto alla vita privata ed al segreto della corrispondenza, così come garantito dall'articolo 8 della Convenzione europea per i Diritti dell'Uomo,


Raccomanda ai Governi degli Stati membri:

    - di tenere conto, nel loro diritto e norme interne, dei principi enunciati nell'Allegato alla presente Raccomandazione;

    - di portare questa Raccomandazione a conoscenza di tutte le autorità che partecipano alla messa in opera di una politica nazionale di protezione dei dati o delle telecomunicazioni;

    - di assicurare che le disposizioni della Raccomandazione siano portate all'attenzione dei gestori di rete, dei fornitori di servizi di telecomunicazione, dei produttori di attrezzature ed apparecchiature per la comunicazione, degli organismi che utilizzano le telecomunicazioni per il "direct marketing", così come degli organi rappresentanti e delle organizzazioni dei consumatori;

    - di promuovere le disposizioni della Raccomandazione in seno ai diversi organi internazionali che trattano di telecomunicazioni.

ALLEGATO ALLA RACCOMANDAZIONE N. R (95) 4


1. Campo di applicazione e definizioni

1.1. I principi enunciati nella presente Raccomandazione si applicano ai gestori di rete ed ai fornitori di servizi che, nello svolgimento delle loro funzioni raccolgono e trattano dati a carattere personale.

1.2. Questi principi si applicano ai dati a carattere personale che sono oggetto di un trattamento automatizzato.
Gli Stati membri possono estendere i principi enunciati nella presente Raccomandazione ai dati a carattere personale che sono oggetto di trattamento manuale.

1.3. Gli Stati membri possono estendere i principi enunciati nella presente Raccomandazione alla raccolta ed al trattamento di dati a carattere personale relativi a persone giuridiche.

1.4. Ai fini della presente Raccomandazione:

    - l'espressione "dati a carattere personale", significa ogni informazione riguardante una persona identificata o identificabile (persona interessata). Una persona fisica non deve essere considerata come "identificabile" se questa identificazione necessita di lunghi tempi, di costi e attività non ragionevoli;
    - l'espressione "servizi di telecomunicazioni" riguarda le diverse prestazioni offerte attraverso il collegamento alle reti di telecomunicazione che permette agli utenti di comunicare tra loro o di corrispondere attraverso messaggio vocale, testo, immagine o attraverso trasmissione di dati;
    - l'espressione "gestori di rete" riguarda ogni entità pubblica o privata che rende disponibile l'utilizzo di una rete di telecomunicazione;
    - l'espressione "fornitori di servizi" riguarda ogni entità pubblica o privata che fornisce e gestisce servizi di telecomunicazione utilizzando sia una rete messa a disposizione dal gestore, sia una rete proprietaria.

2. Rispetto della vita privata

2.1. I servizi di telecomunicazione ed, in particolare, i servizi telefonici in corso di sviluppo, dovranno essere offerti nel rispetto della vita privata degli utenti, del segreto della corrispondenza e della libertà di comunicazione.

2.2. I gestori di rete ed i fornitori di servizi e di attrezzature e d apparecchiature per la telecomunicazione dovranno trarre profitto dalla tecnologia dell'informazione per fabbricare e sviluppare reti, accessori e apparecchiature, che rispettino la vita privata degli utenti.
Dovranno essere messi a disposizione dispositivi di accesso anonimo alla rete ed ai servizi di telecomunicazione.

2.3. A meno che ciò non sia autorizzato per ragioni tecniche di registrazione o di trasmissione di messaggi, per altre ragioni legittime o per l'esecuzione di un contratto di servizi concordato con l'utente, ogni intercettazione del contenuto della comunicazione sia da parte dei gestori di rete, sia da parte dei fornitori di servizi dovrà essere vietata.
In deroga al principio 4.2., i dati relativi a messaggi raccolti al momento di una tale intercettazione, non dovranno essere comunicati a terzi.

2.4. Non ci può essere ingerenza delle autorità pubbliche nel contenuto di una comunicazione, ivi compresa l'utilizzazione di tavoli d'ascolto o di altri mezzi di sorveglianza o di intercettazione delle comunicazioni, salvo che tale possibilità sia prevista dalla legge e costituisca una misura compatibile con i principi di convivenza democratica necessaria:

    a. alla protezione della sicurezza dello Stato, alla sicurezza pubblica, agli interessi monetari dello Stato o alla repressione delle infrazioni penali;
    b. alla protezione della persona interessata e dei diritti e delle libertà degli altri cittadini.

2.5. In caso di ingerenza delle autorità pubbliche nel contenuto di una comunicazione, il diritto interno dovrà regolamentare:

    a. l'esercizio dei diritti d'accesso e di rettifica della persona interessata;
    b. i casi in cui le autorità pubbliche competenti potranno legittimamente rifiutare di dare informazioni alla persona interessata o rinviarne l'ottenimento;
    c. la conservazione o distruzione di questi dati.

Quando un gestore di rete o un fornitore di servizi è incaricato da un'autorità pubblica di effettuare una intercettazione, i dati raccolti potranno essere comunicati soltanto all'organo autorizzazione ad effettuare tale intercettazione.

2.6. Il diritto interno dovrà determinare le condizioni e le garanzie verso le quali i gestori di rete sono autorizzati ad utilizzare i mezzi tecnici per localizzare l'origine delle chiamate dolose o abusive.


3. Raccolta e trattamento dei dati

3.1. La raccolta e il trattamento di dati a carattere personale nella gestione delle telecomunicazioni dovranno essere effettuati e sviluppati nel quadro di una politica di protezione dei dati, tenendo conto delle disposizioni enunciate nella Convenzione per la protezione delle persone riguardo al trattamento automatizzato dei dati a carattere personale ed in particolare del delle specifiche finalità da questa perseguite.

Senza pregiudizio agli altri principi contenuti nella presente Raccomandazione, i dati a carattere personale dovranno essere raccolti e trattati dai gestori di rete e fornitori di servizi soltanto per le finalità connesse al collegamento alla rete o alla fornitura di un particolare servizio di telecomunicazioni, alle esigenze di fatturazione e di verifica del pagamento, per assicurare l'adeguamento tecnico ottimale e lo sviluppo della rete e del servizio.

3.2. I gestori di rete e i fornitori di servizi dovranno informare in modo appropriato gli abbonati ai servizi di telecomunicazione circa le categorie di dati a carattere personale raccolte e trattate che li riguardano, del fondamento giuridico della raccolta, delle finalità per le quali essi sono stati raccolti e trattati, dell'utilizzo che ne viene fatto e della durata di conservazione.


4. Comunicazione di dati

4.1. I dati a carattere personale raccolti e trattati dai gestori di rete o fornitori di servizi non dovranno essere comunicati, a meno che l'abbonato interessato non abbia dato per iscritto il suo consenso espresso e chiaro e che l'informazione comunicata non permetta di identificare gli abbonati chiamati.
L'abbonato può ritirare il suo consenso in ogni momento ma non in modo retroattivo.

4.2. I dati a carattere personale raccolti e trattati dai gestori di rete o fornitori di servizi possono essere comunicati alle autorità pubbliche se questa comunicazione è prevista dalla legge e costituisca una misura compatibile con i principi di convivenza democratica necessaria:

    a. alla protezione della sicurezza dello Stato, alla sicurezza pubblica, agli interessi monetari dello Stato o alla repressione delle infrazioni penali;
    b. alla protezione della persona interessata e dei diritti e delle libertà degli altri cittadini.
4.3. In caso di comunicazione di dati a carattere personale ad autorità pubbliche, il diritto interno dovrà regolamentare:
    a. l'esercizio dei diritti d'accesso e di rettifica da parte della persona interessata;
    b. i casi in cui le autorità pubbliche competenti potranno legittimamente rifiutare di dare informazioni alla persona interessata o rinviarne l'ottenimento;
    c. la conservazione o la distruzione di questi dati.
4.4. Gli elenchi degli abbonati che contengono dati a carattere personale non possono essere comunicati dai gestori di rete e fornitori di servizi a terzi, a meno di una delle seguenti condizioni:
    a. l'abbonato ha dato per iscritto il suo consenso espresso e chiaro; o
    b. l'abbonato informato della comunicazione considerata, non sollevi obiezioni; o
    c. l'autorità incaricata della protezione dei dati ha autorizzato la comunicazione; o
    d. la comunicazione è prevista dal diritto interno.
L'abbonato può ritirare il suo consenso in ogni momento ma non in modo retroattivo.

4.5. La comunicazione di dati a carattere personale tra gestori di rete e fornitori di servizi è permessa quando questa comunicazione risulti necessaria per fini operativi e di fatturazione.


5. Diritti di accesso e di rettifica

5.1. Ogni abbonato potrà ottenere, su domanda e ad intervalli ragionevoli e senza rinvii o spese eccessive, tutti i dati che lo riguardano raccolti e trattati dai gestori di rete o dai fornitori di servizi, e farli rettificare o cancellare quando questi siano inesatti, non pertinenti o eccessivi, o quando siano stati conservati per un periodo eccessivo.

5.2. Il soddisfacimento delle richieste formulate in virtù del punto 5.1., può essere rifiutato, ridotto o differito, se la legge lo permette e costituisca una misura compatibile con i principi di convivenza democratica necessaria:
    a. alla protezione della sicurezza dello Stato, alla sicurezza pubblica, agli interessi monetari dello Stato o alla repressione delle infrazioni penali;
    b. alla protezione della persona interessata e dei diritti di delle libertà dei cittadini.

6. Sicurezza

6.1. I gestori di rete e i fornitori di servizi dovranno prendere tutte le precauzioni tecniche ed organizzative appropriate per assicurare la sicurezza fisica e logica della rete, dei servizi e dei dati che essi raccolgono e trattano ed impedire ogni ingerenza o intercettazione non autorizzata delle comunicazioni.

6.2. Gli abbonati ai servizi di telecomunicazione dovranno essere informati dei rischi di violazione della sicurezza delle reti e del modo in cui possono limitare i rischi di sicurezza dei loro messaggi.


7. Applicazione dei principi

a. Annuari
7.1. Gli abbonati dovranno poter rifiutare, a titolo gratuito e senza motivazione, che i loro dati a carattere personale figurino in un annuario.

Tuttavia, quando il diritto interno esige che certi dati siano inclusi in un annuario, l'abbonato potrà far cancellare i suoi dati a fronte di una adeguata motivazione.
Quando il diritto interno esige da un abbonato di sostenere un onere finanziario affinchè i suoi dati non siano inclusi in un annuario, detto onere dovrà essere di ammontare ragionevole e non dovrà in alcun caso essere dissuasivo all'esercizio di tale diritto.

7.2. Qualora un abbonato richieda l'inserimento di utenti co-utilizzatori del suo numero in un annuario, dovrà ottenere preventivamente il consenso dei medesimi.

7.3. Salvo il caso in cui l'abbonato stesso desideri includere dati supplementari che lo riguardino, i dati a carattere personale contenuti in un annuario dovranno essere limitati quelli strettamente necessari per la sua identificazione ragionevole ed impedire confusione tra differenti abbonati che figurino nel medesimo annuario.

7.4. Per le operazioni di consultazione di un annuario elettronico, dovranno essere applicati mezzi tecnici per prevenire gli abusi ed, in particolare, la possibilità di copie telematiche non autorizzate.
Dovrà essere vietata l'interconnessione di dati contenuti in un annuario elettronico con altri dati o altri schedari, a meno che il diritto interno lo permetta o se ciò è necessario ai gestori di rete o ai fornitori di servizi per fini operativi.

7.5. I dati contenuti in un annuario possono essere utilizzati dai gestori di rete o fornitori di servizi per fini di gestione di un servizio di un servizio di informazioni basato su domande specifiche.
Ogni informazione dovrà essere limitata alla comunicazione di dati figurante nell'annuario. Misure specifiche dovranno essere predisposte per reprimere gli eventuali abusi.

Il servizio di informazioni non dovrà fornire dati relativi ad abbonati non figuranti nell'annuario, senza il loro consento scritto e chiaro.

7.6. L'utilizzo dei dati figuranti nell'annuario è una integrazione ai principi espressi nella Raccomandazione n. R (91) 10 sulla comunicazione a terze persone di dati a carattere personale conservati da organismi pubblici.


b. Utilizzo di dati a fini di "direct marketing"
7.7. I principi della Raccomandazione n. R (85) 20 sulla protezione dei dati personali utilizzati a fini di "direct marketing" si applicano all'utilizzo da parte di terzi dei dati degli abbonati per finalità di "direct marketing".

7.8. Il diritto interno dovrà stabilire le garanzie appropriate e determinare le condizioni perchè i dati degli abbonati possano essere utilizzati dai gestori di rete, i fornitori di servizi e da terzi a fini di "direct marketing" tramite telefono od altri mezzi telematici.

7.9. Dovrà essere incoraggiata l'elaborazione di codici deontologici per assicurare che l'utilizzo pratico non causi problemi agli abbonati.
In particolare, il diritto interno o i codici deontologici dovranno definire gli orari nei quali può essere effettuata la vendita per telefono, la natura dei messaggi ed il modo in cui debbono essere trasmessi.

7.10. Il "direct marketing" per telefono o attraverso altri strumenti telematici non può essere praticato nei riguardi di un abbonato che ha espresso il desiderio di non ricevere messaggi pubblicitari.
A tal fine sarà opportuno sviluppare strumenti appropriati per identificare gli abbonati che non desiderino essere oggetto di messaggi pubblicitari per telefono.

7.11. Gli automatismi di chiamata miranti a trasmettere messaggi pre-registrati di natura pubblicitaria non possono essere trasmessi che ad abbbonati che abbiano dato il loro consenso espresso e chiaro ai fornitori di questo servizio.
L'abbonato può ritirare il suo consenso in ogni momento.


c. Fatturazione dettagliata
7.12. I gestori di rete ed i fornitori di servizi potranno mettere a disposizione di un abbonato la documentazione del traffico con rivelazione dei numeri chiamati soltanto su richiesta dell'abbonato. A tal fine si dovrà tener conto della vita privata dei co-utilizzatori e dei corrispondenti.

7.13. I dati necessari alla fatturazione non dovranno essere conservati dai gestori di rete o dai fornitori di servizi per un periodo superiore al termine necessario al pagamento, pur tenendo conto dell'eventuale necessità di conservare i dati per un periodo ragionevole in vista di reclami legati alla fatturazione o se disposizioni di legge esigono la conservazione per termini maggiori.


d. Telefonia interna
7.14. I soggetti utilizzatori di apparecchi telefonici interni, dovranno essere preventivamente informati, con mezzi appropriati, del fatto che i dati risultanti dall'utilizzo del telefono interno sono raccolti e trattati dal titolare della linea. I dati dovranno essere cancellati immediatamente dopo il pagamento della fattura.

7.15. I principi enunciati nella Raccomandazione n. R (89) 2 sulla protezione dei dati a carattere personale utilizzati a fini di impiego, si applicano anche all'utilizzo di apparecchiature di autocommutazione telefonica nei luoghi di lavoro.


e. Identificazione del numero chiamante
7.16. L'introduzione della caratteristica tecnica che permette di visualizzare il numero di telefono di una chiamata in arrivo sul terminale dell'abbonato chiamato, dovrà essere accompagnata da una specifica informazione indirizzata a tutti gli abbonati, che evidenzi la disponibilità di tale caratteristica da parte di alcuni abbonati e che, in tal modo, è possibile che il loro numero di telefono sia rivelato all'abbonato chiamato.

L'introduzione di detta caratteristica dovrà essere accompagnata dalla possibilità per l'abbonato chiamante di sopprimere, in modo semplice, la visualizzazione del suo numero di telefono sul terminale dell'abbonato chiamato.

7.17. Il diritto interno dovrà determinare i casi e le garanzie in cui i gestori di rete potranno rifiutare di accettare le richieste degli abbonati di soppressione della visualizzazione del loro numero sullo schermo del terminale del chiamato.


f. Trasferimento di chiamata
7.18. Sarebbe conveniente individuare la possibilità di meccanismi che permettano ad un terzo abbonato l'annullamento di un trasferimento di chiamata, in caso di disaccordo.

7.19. Quando, in accordo con le disposizioni del punto 2.4., relativo all'intercettazione delle comunicazioni, la sorveglianza o l'intercettazione delle chiamate entranti e uscenti di un abbonato è autorizzata, le misure di sorveglianza o di intercettazione non dovranno estendersi a tutte le chiamate entranti sul terminale del terzo abbonato, ma unicamente a quelle che sono oggetto del trasferimento.


g. Telefonia mobile
7.20. Per quanto riguarda la fornitura e lo sviluppo di un servizio di telefonia mobile, i gestori di rete ed i fornitori di servizi dovranno informare gli abbonati sui rischi che possa essere compromesso la riservatezza della comunicazione nell'uso delle reti di telefoni mobili, in particolare, nei casi di assenza di strumenti di cifratura delle comunicazioni radio.

Dovranno essere messi a punto strumenti tecnici che permettano agli abbonati alle reti di telefoni mobili la cifratura delle loro comunicazioni o offrendo garanzie equivalenti.

7.21. Dovrà essere assicurato che la fatturazione di un telefono mobile non esiga la registrazione di dati rivelanti la localizzazione troppo precisa dell'abbonato o della parte chiamata al momento del suo utilizzo.