Garante per la protezione
    dei dati personali


Comunicato Stampa

 

[vedi anche comunicato stampa del 9 luglio 2013]

Ill.mo 
Ministro per i rapporti con il Parlamento


On. Dario Franceschini

Lescrivo in relazione al decreto-legge 21giugno 2013, n. 69, recentemente approvato dal Governo per rilanciarel'economia, per segnalare, a dibattito parlamentare appena avviato, rilevanticriticità riscontrate in alcune disposizioni del provvedimento d'urgenza.

1.Ci si riferisce, in primo luogo, all'articolo10 con il quale, per quanto è possibile trarre dalla relazioneillustrativa al disegno di legge di conversione del decreto-legge (AC 1248), siintenderebbe rendere libero l'accessoad Internet tramite rete wi-fi, visto lo sviluppo e l'enorme diffusioneche hanno avuto di recente gli apparati portatili (notebook, tablet,cellulari), nonché la progressiva ristrutturazione del territorio mediante retisenza fili.

Tale"liberalizzazione" si realizzerebbe su più fronti: intervenendo sulladisciplina delle licenze e autorizzazioni per i "gestori"dell'offerta di accesso a Internet (licenza del questore; autorizzazioneministeriale, art. 10, comma 2, secondo periodo); rendendosi non necessarial'identificazione personale dell'utilizzatore dell'apparato terminale (comma 1,primo periodo); facilitando l'installazione delle relative apparecchiature(abrogazione del c.d. "patentino installatori", cioè dell'obbligo diaffidare i lavori di allacciamento dei terminali a imprese abilitate) (comma3).

Sottoaltro profilo, la norma obbliga i gestori a "garantire la tracciabilitàdel collegamento (MAC address)" e stabilisce che la "registrazionedella traccia delle sessioni" ove non associata all'identitàdell'utilizzatore "non costituisce trattamento di dati personali e nonrichiede adempimenti giuridici" (commi 1, secondo periodo e 2, primoperiodo).

Questeultime disposizioni sollevano, ad avviso del Garante, forti perplessità che sisente il dovere di rendere note.

IlGarante osserva preliminarmente che con tali previsioni il Governo-probabilmente quale misura "compensativa" sotto il profilo dellasicurezza e dell'ordine pubblico rispetto al venir meno della possibilità diidentificare la persona che accede ad Internet - introduce l'obbligo peri "gestori" di tracciare (o comunque garantire la tracciabilità di)alcune informazioni che, per quanto non individuate in maniera chiara, sonocomunque "riconducibili" all'accesso alla rete da partedell'utilizzatore del terminale.

Conciò, si grava una platea considerevole di imprese (bar, ristoranti, alberghi)come pure di soggetti pubblici, di adempimenti alquanto onerosi, oggi nonprevisti, e comunque di difficile applicazione in mancanza di norme chiare,eppure immediatamente applicabili quali sono quelle d'urgenza. E' appena ilcaso di ricordare, poi, che taluni obblighi di monitoraggio e registrazione didati, erano stati stabiliti dal decreto-legge n. 144 del 2005 (c.d. decreto Pisanu)per categorie di "gestori" diversi da coloro che offrono accesso aInternet con tecnologia wi-fi, e sono stati successivamente soppressianche in ragione delle difficoltà e degli oneri legati alla loro applicazione(decreto-legge n. 225 del 2010).

Tuttavia,ciò che più preme a questa Autorità èsottolineare come le disposizioni in commento, nell'escludere che untrattamento di dati costituisca un trattamento di dati personali, rischiano diimpattare sulla tutela dei diritti fondamentali e di confliggere con ladefinizione stessa di dato personale contenuta, oltre che nel Codice in materiadi protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), nella stessadirettiva europea sulla tutela della vita privata. Quest'ultima,infatti, contiene una definizione di dato personale molto ampia, chericomprende "qualunque informazione concernente una persona fisicaidentificata o identificabile....direttamente o indirettamente, in particolaremediante riferimento a un numero di identificazione o ad uno o più elementispecifici caratteristici della sua identità." (art. 2, par. 1, lett.a), dir. 95/46/CE).

Intale quadro, l'Autorità, consapevole dell'importanza dell'esigenza dicontemperare la liberalizzazione dell'accesso a Internet con la tutela dellasicurezza pubblica e il contrasto della criminalità, ritiene che tali ultimiaspetti, con le connesse implicazioni per la protezione dei dati personali,potrebbero trovare un più meditato approfondimento in una sede diversa e piùidonea di quella consentita dai ristretti tempi di approvazione di unprovvedimento d'urgenza.

Ciò,peraltro, tenuto conto che la norma, ove se ne confermasse l'esigenza, potrebbeessere perfezionata chiarendo espressamente che per tali trattamenti non sononecessari per il gestore "adempimenti giuridici" quali l'acquisizionedel consenso degli interessati (utilizzatori degli apparati) al trattamento deiloro dati personali o anche la notifica al Garante, mentre l'obbligo di rendereall'interessato l'informativa potrebbe essere assolto in forma sintetica edagevolata, anche sulla base di un provvedimento del Garante.

2.Richiamo inoltre l'attenzione sull'articolo17 del decreto-legge che apporta alcune modifiche alle disposizioni inmateria di fascicolo sanitarioelettronico (FSE), introdotte dal decreto-legge n. 179 del 2012.

L'articolo12 del predetto decreto n. 179, nella sua formulazione originaria, prevedevache –ferma restando la libera espressione del consenso dell'assistito aifini dell'alimentazione del FSE- le Regioni e le Province autonome, ilMinistero del Lavoro e delle politiche sociali e il Ministero della Salutepotessero perseguire le finalità di studio e ricerca scientifica, nonché diprogrammazione sanitaria e monitoraggio loro assegnate "senzal'utilizzo dei dati identificativi degli assistiti e dei documenti clinicipresenti nel FSE". Ciò, sul presupposto che per tali finalità, lequali non attengono evidentemente alla cura della persona, fosse sufficienteutilizzare informazioni non identificative dei pazienti, in applicazione deiprincipi di necessità, proporzionalità e indispensabilità nel trattamento deidati personali, e senza che fossero in alcun modo presi in considerazionedocumenti clinici.

Conla modifica operata dal decreto in discussione (art. 17, comma 1, lett. b)) ipredetti soggetti pubblici sarebbero, invece, autorizzati a utilizzare anche i"documenti clinici".

IlGarante esprime forti perplessità su tale ampliamento del novero delleinformazioni oggetto di trattamento per finalità diverse da quelle di cura.

Pereffetto della modifica normativa, infatti, verrebbe trattata dalle Regioni,dalle Province autonome e dai Ministeri citati un'enorme mole di dati personalisensibili delle persone (si pensi alle risultanze diagnostiche radiologiche, oa quelle di analisi cliniche, ecc.), che rappresenta un patrimonio informativo,pur prezioso per gli operatori sanitari nel momento in cui devono fare unadiagnosi o prestare le cure mediche richieste, ma assolutamente sproporzionatoper lo svolgimento di attività quali quelle di ricerca scientifica oprogrammazione sanitaria.

Perquesti motivi, il Garante ritienenecessario che la norma in questione sia modificata in modo da assicurare aipredetti soggetti pubblici un utilizzo selettivo delle sole informazioniveramente utili e pertinenti per il perseguimento delle finalità loroassegnate. In tal senso, l'articolo 12 del decreto n. 179 potrebbeessere integrato con la previsione che il regolamento di attuazione di taledisciplina (art. 12, comma 7, d.l. n. 179/2012), al quale è demandato didefinire, fra l'altro, i contenuti del FSE, individui espressamente i"documenti sanitari" utilizzabili per finalità amministrative.

3.Infine il Garante ritiene doveroso esprimere la propria contrarietà alla possibile riproposizione di disposizioni volte adescludere dall'applicazione del Codice gli imprenditori individuali, per ilmomento non pubblicate, ma contenute in recenti bozze di disegno di legge delGoverno in materia di semplificazioni.

Alriguardo, non possono che ribadirsi le perplessità già manifestate in altrecircostanze e, da ultimo, in occasione della presentazione al Parlamento dellarelazione annuale del Garante.

Infatti,anche la più recente versione del disegno di legge che risulterebbe approvatonel Consiglio dei ministri del 19 giugno u.s., conterrebbe una modifica alCodice in materia di protezione dei dati personali in base alla quale "aifini dell'applicazione del Šcodice l'imprenditore è considerato personagiuridica relativamente ai dati concernenti l'esercizio dell'attività d'impresa.".

Tale disposizione, finirebbe con il privare lepersone fisiche – sia pure quando agiscano nell'esercizio della propriaattività imprenditoriale – del diritto alla protezione dei datipersonali, in contrasto, tra l'altro, con la direttiva 95/46/CE, con laconseguente necessità, anche da parte di questa Autorità, di sollevare laquestione in sede comunitaria.

Lanorma rischia, peraltro, di sortire effetti paradossali e – in contrastocon le finalità presumibilmente perseguite – pregiudizievoli per lastessa attività d'impresa del piccolo imprenditore, stante la difficoltà di distinguere,nella vita concreta, il dato della persona fisica da quello riferito alla suaqualità di imprenditore individuale. Così, ad esempio, potrà capitare –comegià avvenuto, in realtà- che a causa del mancato o ritardato pagamento dipiccole rate per un acquisto anche minuto, il soggetto venga inserito in unadelle tante centrali rischi e in conseguenza di ciò si veda negare il creditoper l'attività di impresa, con il conseguente rischio di estromissione dalmercato. Fatto questo, ancora più grave nell'attuale fase di crisi economicadel Paese. Mentre oggi tale soggetto può rivolgersi al Garante per farcancellare informazioni non corrette o non significative da tali banche dati,ove la norma venisse approvata, lo stesso sarebbe privato di tale tutela.

Questanovella potrebbe determinare ulteriori criticità anche, ad esempio, rispetto altrattamento dei dati giudiziari o comunque di quelle situazioni specifiche (dicui ragiona il parere 4/2007 del "Gruppo Articolo 29"), nelle quali idati, pur formalmente inerenti imprese, attengano in realtà a persone fisiche.

Sipensi, ad esempio, alla condanna per reati (fallimentari, societari, etc.)commessi dall'imprenditore proprio in quanto tale, nell'esercizio, cioè,dell'attività d'impresa: essi potrebbero ritenersi esclusi dalla tutelarafforzata loro accordata dal Codice, con effetti - non solo di dubbiaopportunità- ma anche di dubbia legittimità sotto il profilo del rispettodell'ordinamento costituzionale e dell'Unione europea, essendo i dati in esamemeritevoli di una protezione particolarmente pregnante.

Sottoaltro profilo, il Garante esprime perplessità anche di ordine metodologico.

Ovele norme fossero effettivamente riproposte, si realizzerebbe una significativamodifica a parti determinanti della disciplina in materia di protezione deidati personali, peraltro a breve distanza dalle novelle che hanno già ridotto,in misura rilevante, la categoria dei soggetti di diritto cui si applicano legaranzie del Codice.

Lecontinue modifiche agli istituti fondativi della disciplina della protezionedei dati – apportate, peraltro, anche con decreto-legge e al di fuori daun progetto organico di riforma - rischiano, perché poco approfondite, diingenerare difficoltà applicative e dubbi intrepretativi idonei a vanificare lestesse, auspicate finalità di semplificazione. 

Queste ultime, invece, potrebbero essere perseguitemediante altri mirati interventi di semplificazione, ovviamente nel rispettodei vincoli comunitari, come quello relativo all'impianto sanzionatorioprevisto dal Codice in materia di protezione dei dati personali, discussoinformalmente con alcuni uffici legislativi, che potrebbe anche essere inseritoin un organico intervento di riforma della disciplina di settore, in relazioneal quale l'Autorità assicura sin d'ora la più ampia collaborazione.

La disposizione modifica altresì l'articolo 121 del Codice inmateria di protezione dei dati personali, precisando che le norme del Codicesui servizi di comunicazione elettronica (Titolo X) si applicano al trattamentodei dati delle "persone giuridiche quali contraenti o utenti di fornituradi servizi di comunicazione elettronica".

Ladisposizione normativa sembra volta a ridurre il contrasto della disciplinavigente con la direttiva 2002/58/CE, relativa al trattamento dei dati personalinel settore delle comunicazioni elettroniche,  determinato da una dellerecenti novelle al Codice.

Inparticolare, il decreto-legge n. 201 del 2011, nell'escludere persone giuridiche,enti o associazioni dalla sfera dei soggetti di diritto ai fini dellaprotezione dati ha mancato di coordinare pienamente l'intervento con ladisciplina del trattamento dei dati di tali soggetti rispetto alla fornitura diservizi di comunicazione elettronica, e in particolare con la definizione di"abbonato" pure contenuta nel Codice (e poi sostituita con quella di"contraente"), che risulta tuttora applicabile tanto alle personefisiche quanto a quelle giuridiche.

Sisegnala, ad esempio, tra gli effetti più immediati di tale mancanza dicoordinamento il venir meno per questi soggetti, quando agiscano nella qualitàdi "contraenti", delle forme di tutela dinanzi al Garante, in quantol'articolo 141 del Codice, che le disciplina, si riferisce testualmente, aseguito della modifica del 2011, ai soli "interessati", dunquesoltanto alle persone fisiche.

Laproposta di modifica all'articolo 121 del Codice (che, peraltro, non si riferisce,inspiegabilmente, anche agli "enti e associazioni" i quali pure sonoparificati, quanto a disciplina, alle persone giuridiche figurando ancora nellanozione di "contraente" di cui all'articolo 4, comma 2, lett. f) delCodice,) non risolve, comunque, in maniera esaustiva le disarmonie normativedescritte.

L'Autorità,pertanto, ritiene preferibile -come peraltro già auspicato in più occasioni-modificare le stesse nozioni di "interessato" e di "datopersonale" di cui all'articolo 4 del Codice, al fine di ricondurvi anche isoggetti diversi dalle persone fisiche che siano parti di un contratto difornitura di servizi di comunicazione elettronica (i contraenti, appunto), inmodo da assicurare a tali soggetti le forme di tutela previste dal Codice.

TantoLe segnalo ai sensi dell'articolo 154, comma 1, lett. f) del Codice in materiadi protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), grato, anche anome del Collegio del Garante, per l'attenzione che vorrà riservare allesuesposte considerazioni, e confermandoLe sin d'ora la più ampia disponibilitàdell'Autorità ad ogni collaborazione che dovesse essere ritenuta utile.

AntonelloSoro