|
GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29
Parere 2/2008 - WP150
IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 19951, visti gli articoli 29 e 30, paragrafi 1, lettera a), e 3 della richiamata direttiva e larticolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 giugno 2002, visto l'articolo 255 del trattato e il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione, visto il proprio regolamento interno, HA ADOTTATO IL PRESENTE DOCUMENTO:
1. CONTESTO Il 13 novembre 2007 la Commissione ha adottato una proposta di direttiva che modifica, tra l'altro, la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (qui di seguito "la proposta"). L'obiettivo principale della proposta rafforzare la protezione dei dati personali e la tutela della vita privata dei cittadini nel settore delle comunicazioni elettroniche, in particolare attraverso disposizioni di sicurezza pi rigorose e migliori meccanismi di controllo. Il Gruppo di lavoro articolo 29 desidera commentare la proposta ed esaminare alcune questioni supplementari.
2. OSSERVAZIONI SPECIFICHE Notifica delle violazioni della sicurezza Articolo 4 Il Gruppo di lavoro articolo 29 appoggia pienamente la proposta di rafforzare l'articolo 4 "Sicurezza" esigendo che i fornitori dei servizi di comunicazione accessibili al pubblico notifichino le violazioni della sicurezza, e sottolinea l'importanza di informare tutti gli interessati quando la sicurezza dei loro dati personali risulta o rischia di essere compromessa. Ritiene tuttavia che rimangano in sospeso alcune questioni: a) l'esigenza di estendere ai fornitori di servizi della societ dell'informazione l'obbligo di notificare le violazioni della sicurezza Il Gruppo di lavoro articolo 29 approva senza riserve il parere2 del Garante europeo della protezione dei dati (GEPD) secondo cui l'introduzione di un sistema di notifica delle violazioni della sicurezza, quale descritto all'articolo 4, paragrafi 3 e 4, dovrebbe riguardare anche i fornitori di servizi della societ dell'informazione, come le banche online, le imprese attive on-line, i fornitori on-line di servizi nel settore sanitario, ecc. L'estensione dell'obbligo di notifica garantirebbe una maggiore assunzione di responsabilit da parte dei servizi della societ dell'informazione in generale e contribuirebbe a sensibilizzare gli utenti. In questo modo sarebbe certamente possibile ridurre i rischi per la sicurezza. b) i destinatari delle notifiche delle violazioni della sicurezza Il Gruppo di lavoro ritiene che il concetto di destinatari delle notifiche delle violazioni della sicurezza dovrebbe essere ampliato, in modo da includervi tutte le persone interessate e non soltanto gli "abbonati", sostituendo all'articolo 4 il termine "abbonati" con "interessati". Il termine "interessati" comprenderebbe tutti coloro i cui dati sono stati compromessi violando la sicurezza (per esempio, abbonati, ma anche ex-abbonati e alcuni terzi). Questa modifica potrebbe risultare particolarmente utile, per esempio, per coloro che hanno appena disdetto un abbonamento e che non sono pi "abbonati", ma i cui dati personali sono ancora in possesso del responsabile del trattamento (nella fattispecie, il fornitore di un servizio pubblico di comunicazione elettronica). Un'altra situazione ipotetica in cui evidente la necessit di ampliare il gruppo di destinatari dell'obbligo di notifica il caso dei fornitori di servizi pubblici di comunicazione elettronica che conservano informazioni su una persona A, che non abbonata ai loro servizi. Questa circostanza pu verificarsi se l'informazione stata trasmessa da un abbonato del servizio che ha invitato A ad abbonarsi allo stesso servizio. A dovrebbe essere ovviamente avvertita se, a causa di una violazione della sicurezza, sono divulgate informazioni sul suo conto. Ci potrebbe rivelarsi utile anche quando le notifiche della violazione riguardano servizi della societ dell'informazione. Gli utenti possono infatti interagire con alcuni di questi servizi senza essere abbonati. c) Divulgazione al pubblico Il Gruppo di lavoro ritiene che in determinate circostanze l'autorit nazionale di regolamentazione (ANR) dovrebbe essere autorizzata, nell'interesse generale, a informare gli utenti di una violazione o a esigere che siano le imprese interessate a farlo. L'ANR dovrebbe valutare se il caso debba essere reso pubblico, bilanciando gli interessi dei fornitori e i diritti delle persone interessate. Articolo 4, paragrafo 4 Conformemente all'articolo 4, paragrafo 4, dopo aver consultato l'Autorit europea del mercato delle comunicazioni elettroniche e il Garante europeo della protezione dei dati, la Commissione pu adottare misure tecniche di attuazione riguardanti, tra l'altro, le circostanze, il formato e le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni di cui al medesimo articolo. a) La scelta della procedura di "comitatologia" Il Gruppo di lavoro articolo 29 approva l'impostazione della proposta che consiste nel risolvere molte importanti questioni relative alla fornitura di informazioni agli utenti e alle autorit incaricate della protezione dei dati con disposizioni di attuazione piuttosto che nel contesto della direttiva relativa alla vita privata e alle comunicazioni elettroniche (anche direttiva e-privacy). b) Necessit di consultare il Gruppo di lavoro articolo 29 Oltre all'Autorit europea del mercato delle comunicazioni elettroniche e al Garante europeo della protezione dei dati dovrebbe essere consultato anche il Gruppo di lavoro articolo 29, poich ogni misura introdotta si ripercuoter direttamente sulle informazioni da fornire agli interessati. Concetto di "dati personali" Il Gruppo di lavoro esprime soddisfazione per la totale compatibilit della definizione e della portata del termine "dati personali" di cui alla proposta con la definizione corrispondente che figura nella direttiva sulla protezione dei dati. Sottolinea inoltre che qualsiasi ridimensionamento della definizione di "dati personali" nella direttiva e-privacy creerebbe un vuoto nella protezione degli utenti in un settore che al centro delle comunicazioni elettroniche, e di conseguenza anche della societ dell'informazione e dei servizi amministrativi on-line basati sui servizi elettronici, fatto che sarebbe del tutto inaccettabile dal punto di vista della protezione della vita privata. Concetto di "rete di comunicazione pubblica" e di "servizi di comunicazione elettronica" La direttiva e-privacy si applica alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche. Molto spesso, per, il concetto di "reti di comunicazione pubblica" e quello di "servizi di comunicazione elettronica" risultano poco chiari nella pratica. I servizi si trasformano sempre pi in una combinazione di elementi pubblici e privati ed spesso difficile per i legislatori non meno che per gli operatori del settore determinare se la direttiva e-privacy si applichi in una data circostanza. Per esempio, il collegamento Internet di 30.000 studenti da considerarsi un sistema di comunicazione elettronica pubblico o privato? Cosa dire poi se l'accesso fornito da una multinazionale a 300.000 dipendenti? O da un Internet caf? Il Gruppo di lavoro articolo 29 rinvia ai suoi precedenti pareri (WP 363 e WP 1264) e chiede una volta di pi che siano chiarite le definizioni di "servizi di comunicazione elettronica" e di "reti di comunicazione pubblica", perch occorre tenere conto dello sviluppo di reti ibride pubblico/privato. Il Gruppo di lavoro articolo 29 invita la Commissione a consultarlo sulla questione con una comunicazione o un altro strumento opportuno. Autorit nazionali di regolamentazione (ANR) Nella proposta i riferimenti all'autorit nazionale di regolamentazione sembrano indicare talvolta l'autorit nazionale di garanzia per le telecomunicazioni, talvolta l'autorit garante della protezione dei dati. Il Gruppo di lavoro articolo 29 suggerisce di introdurre una formulazione simile a quella dell'articolo 3, paragrafo 5, della direttiva quadro 2002/21/CE in modo da garantire una cooperazione efficace tra le autorit di regolamentazione nazionali e le autorit per la protezione dei dati. L'articolo 15 bis, paragrafo 4 "Attuazione e controllo dell'attuazione" propone poi di consultare l'Autorit europea del mercato delle comunicazioni elettroniche. Il Gruppo di lavoro articolo 29 insiste per essere consultato anch'esso e perch a tal fine sia inserito un riferimento esplicito ad un processo di consultazione obbligatorio. Infine, il Gruppo di lavoro ritiene necessario vigilare affinch il meccanismo di armonizzazione proposto non impedisca agli Stati membri di fissare requisiti supplementari in materia di sicurezza per perseguire gli obiettivi definiti nella direttiva eprivacy. Articolo 3 Il Gruppo di lavoro articolo 29 concorda con il richiamato parere del Garante europeo della protezione dei dati e giudica questa disposizione positiva perch precisa che un certo numero di dispositivi RFID rientrano nell'ambito della direttiva e-privacy. Articolo 13 - Comunicazioni indesiderate Il Gruppo di lavoro articolo 29 osserva la tendenza nella tecnologia delle comunicazioni ad allontanarsi dal modello tradizionale di abbonato5 e suggerisce che il termine "abbonato" sia sostituito da "utente" in tutto l'articolo 13, e che sia aggiunto un nuovo considerando per chiarire la relazione e il ruolo degli abbonati rispetto agli utenti. La direttiva e-privacy modificata dovrebbe tutelare gli utenti di connessioni wireless a corto raggio dalle comunicazioni non desiderate, come previsto all'articolo 13. Chiarimenti pi dettagliati potrebbero essere inclusi in un nuovo considerando. Articolo 13, paragrafo 1 Per tenere conto dei continui progressi e sviluppi tecnologici, il paragrafo 1 non dovrebbe riferirsi ai "sistemi automatizzati di chiamata", ma ai "sistemi automatizzati di chiamata e di comunicazione", cos da mantenere un'impostazione neutra sul piano tecnologico, pur tenendo conto dei cambiamenti in corso. Articolo 13, paragrafo 6 Nel nuovo articolo 13, paragrafo 6 la Commissione propone di confermare il diritto di ogni persona fisica o giuridica di promuovere un'azione giudiziaria contro ogni violazione delle disposizioni nazionali adottate ai sensi dell'articolo 13 della direttiva eprivacy. Il Gruppo di lavoro raccomanda di estendere questo diritto all'articolo 5, paragrafo 3 della direttiva e-privacy, in modo che sia possibile promuovere un'azione giudiziaria anche in caso di violazione delle disposizioni nazionali che vietano l'uso di spyware. 3. ALTRI FATTORI DA CONSIDERARE a) Il principio della "privacy by design" Il Gruppo di lavoro articolo 29 si pronuncia a favore dell'applicazione del principio di minimizzazione dei dati e sviluppo di tecnologie di rafforzamento della tutela della vita privata6 da parte dei responsabili del trattamento dei dati. Il Gruppo di lavoro chiede ai legislatori europei di rafforzare questo principio, riprendendo i considerandi 9 e 30 della direttiva e-privacy in un nuovo paragrafo da inserire all'articolo 1 della direttiva. b) Indirizzi IP Il Gruppo di lavoro articolo 29 constata che, nel contesto del dibattito sulla direttiva eprivacy, ci si chiesti se gli indirizzi IP debbano essere considerati dati personali e ribadisce che nella maggior parte dei casi, anche quando sono allocati indirizzi IP dinamici, con i dati a disposizione possibile risalire all'identit dell'utente. Nel WP 1367 il Gruppo di lavoro ha osservato che ", a meno di poter distinguere con assoluta certezza che i dati corrispondano a utenti non identificabili, il fornitore di servizi Internet dovr trattare tutte le informazioni IP come dati personali, per maggiore sicurezza". Queste considerazioni si applicano anche agli operatori dei motori di ricerca (WP 148)8. c) Articolo 5, paragrafo 1 Il Gruppo di lavoro articolo 29 ribadisce che questo articolo prevede l'obbligo di garantire la riservatezza delle comunicazioni a prescindere dalla natura della rete e dal fatto che il destinatario della comunicazione si trovi in un paese terzo. 6 COM(2007) 228 definitivo. I fornitori di servizi di comunicazione elettronica dovrebbero prendere misure rigorose per cercare di offrire una protezione pi adeguata a tutti coloro che effettuano una comunicazione elettronica con interlocutori in paesi terzi. Il riesame della direttiva eprivacy la sede opportuna per affermare i diritti civili in questo settore, in particolare per assicurare la trasparenza dei meccanismi usati per la trasmissione delle comunicazioni. 4. OSSERVAZIONI FINALI, CONCLUSIONE Il Gruppo di lavoro articolo 29 chiede ai legislatori europei di prendere in esame le questioni evidenziate nel presente parere. Fatto a Bruxelles, il 15 maggio 2008 Per il Gruppo di lavoro Il Presidente Alex Türk
NOTE http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm 2 http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/ 2008/08-04-10_e-privacy_EN.pdf 3 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2000/wp36en.pdf 4 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp126_en.pdf 5 Per esempio, per l'uso crescente di tecnologie come Bluetooth che permettono una certa forma di pubblicit che diventata intrusiva quanto gli spam, anche se la base tecnologica diversa. 7 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_en.pdf 8 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_en.pdf
|