Il 13 novembre 2007, la Commissione ha adottato una proposta di direttiva (“la proposta”) recante modifica della direttiva 2002/58/CE (“direttiva relativa alla vita privata e alle comunicazioni elettroniche”) relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e della direttiva 2002/21/CE (direttiva quadro).

Il 24 settembre 2008, il Parlamento europeo adottava emendamenti alla proposta in prima lettura (“emendamenti del Parlamento”), commentati il 6 novembre 2008 dalla Commissione europea nel documento COM(2008)723 def. (“commenti della Commissione”).

Successivamente, il 27 novembre 2008, un accordo politico veniva raggiunto in seno al Consiglio dell’Unione europea (“accordo del Consiglio”).

Il gruppo dell’articolo 29 intende esprimere un parere sugli emendamenti del Parlamento, sui commenti della Commissione e sull’accordo del Consiglio.

Il gruppo ricorda i due pareri già adottati sulla revisione del quadro normativo per le reti e i servizi di comunicazione elettronica (parere 8/2006 del 26 settembre 2006² e parere 2/2008 del 15 maggio 2008³).

Per quanto si compiaccia che siano state prese in considerazione alcune raccomandazioni precedentemente espresse, il gruppo desidera sottolineare alcune preoccupazioni di base in merito alle questioni sorte dopo la prima lettura al Parlamento europeo e al Consiglio; a tal fine, il gruppo non intende ripetere tutti i punti sollevati nei precedenti pareri, che rimangono a tutt’oggi validi.

Il gruppo sostiene in pieno la proposta di rendere più vincolante l’articolo 4 della direttiva relativa alla vita privata e alle comunicazioni elettroniche ponendo l’obbligo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico di notificare le violazioni della sicurezza. Le notifiche a tal fine possono rivelarsi un prezioso strumento affinché le autorità garanti della protezione dei dati possano vegliare con maggiore incisività ed efficacia al rispetto dell’obbligo incombente ai fornitori di servizi di adottare provvedimenti adeguati a tutela della sicurezza.

In termini generali, il gruppo raccomanda di affrontare il problema della notifica delle violazioni di sicurezza dei dati personali secondo il seguente approccio:

- la competente autorità nazionale di regolamentazione viene informata ogni qualvolta sussista il rischio di effetti negativi⁴ per la vita privata e la protezione dei dati personali;

- è capitale che i fornitori di servizi informino immediatamente gli utenti interessati ogni qualvolta si verifichino violazioni della sicurezza in grado di produrre effetti negativi⁵ sulla vita privata e sui dati a carattere personale, indipendentemente dalla possibilità per la competente autorità nazionale di regolamentazione di divulgare informazioni in merito alla violazione o di obbligare il fornitore di servizi ad agire in tal senso;

- è opportuno che ciascun fornitore di servizi conservi registrazioni⁶ di tutte le violazioni di dati personali.

Il gruppo constata inoltre che le tre proposte (del Parlamento, della Commissione e del Consiglio) affrontano il problema della violazione della sicurezza e dei dati personali secondo tre approcci sostanzialmente diversi, soprattutto sotto i seguenti aspetti:

- la portata dell’obbligo (estesa ai servizi della società dell’informazione secondo gli emendamenti del Parlamento, limitata ai fornitori di servizi di comunicazione elettronica accessibili al pubblico secondo il Consiglio e la Commissione); il gruppo è decisamente favorevole ad estendere la portata dell’obbligo ai servizi della società dell’informazione;

- l’organismo cui spetta decidere in merito alla notifica agli interessati (l’autorità compente per il Parlamento e la Commissione, il fornitore di servizi per il Consiglio);

- la tipologia di violazioni da notificare (tutte le violazioni secondo la proposta del Parlamento e i commenti della Commissione, solo le violazioni gravi secondo l’accordo del Consiglio);

- le persone cui notificare la violazione (abbonati o individui per il Parlamento e la Commissione, solo gli abbonati per il Consiglio).

Portata della notifica: servizi della società dell’informazione

Il gruppo esprime deciso sostegno agli emendamenti 187/rev e 184 adottati dal Parlamento. È’ necessario estendere l’obbligo di notifica delle violazioni dei dati personali ai servizi della società dell’informazione considerato il ruolo sempre più centrale che essi rivestono nella vita dei cittadini europei ed della mole crescente di dati personali elaborati dai suddetti servizi. Le operazioni online quali l’accesso ai servizi di e-banking, le cartelle cliniche del settore privato e gli acquisti via internet non sono che qualche esempio dei servizi esposti a violazioni dei dati personali in grado di occasionare serie ripercussioni per un numero elevato di cittadini europei. Un obbligo di notifica imposto unicamente ai servizi di comunicazione elettronica accessibili al pubblico produrrebbe effetti limitati ad un numero molto esiguo di interessati rendendo pertanto la notifica della violazione dei dati personali uno strumento molto meno incisivo al fine di tutelare le persone contro rischi quali il furto di identità, la perdita finanziaria o le mancate opportunità economiche o occupazionali.

Il gruppo esprime pertanto profondo rammarico che la proposta non sia stata accolta dalla Commissione e dal Consiglio e ricorda che alcune disposizioni della direttiva relativa alla vita privata e alle comunicazioni elettroniche trovano già applicazione al di là dell’ambito ristretto dei servizi di comunicazione elettronica⁷.

Responsabilità e criteri della notifica

La responsabilità di valutare i rischi connessi alle violazioni dei dati personali dovrebbe incombere ai fornitori di servizi interessati, essendo questi nella migliore posizione per stabilire quanto prima se, in base alle regole di valutazione stabilite dalle autorità, occorre informare le persone interessate. Indipendentemente dall’obbligo di notificare alla competente autorità nazionale di regolamentazione tutte le violazioni in cui sussiste il rischio di effetti negativi, i fornitori di servizi dovrebbero stabilire se è necessaria una notifica agli abbonati o a singoli individui. Onde garantire che vengano diffuse al pubblico informazioni accurate e pertinenti, le competenti autorità nazionali di regolamentazione possono decidere, ogni qualvolta lo ritengano necessario, di rendere pubblica la violazione e costringere il fornitore di servizi a divulgare informazioni sulla violazione.

Dal momento che sarà il fornitore di servizi ad effettuare la notifica, è essenziale che la direttiva contempli meccanismi a garanzia che le violazioni non vengano occultate, che la valutazione della violazioni avvenga in modo corretto e che le persone interessate ricevano una notifica nei casi previsti.

Questa possibile estensione oltre l’ambito ristretto dei servizi di comunicazione elettronica accessibili al pubblico è anche prevista in altre circostanze, dal momento che la Commissione ha proposto di estendere il campo d’applicazione dell’articolo 5, paragrafo 3, ai casi in cui i cookies e lo spyware vengono forniti tramite supporti quali CD-ROM o chiavi USB, che non sono servizi di comunicazione elettronica accessibili al pubblico.

Ricevendo notifiche in un numero elevato di casi, le autorità saranno nella posizione di supervisionare il processo di notifica alle persone interessate da parte dei fornitori di servizi. Occorre armonizzare il formato della notifica a livello europeo definendo inoltre criteri chiari e obiettivi che aiutino a valutare le conseguenze degli effetti negativi indotti dalla violazione. La competente autorità nazionale di regolamentazione dovrebbe inoltre controllare se il fornitore di servizi ha effettuato correttamente la valutazione della violazione e ha eventualmente adottato misure adeguate a fronte della violazione dei dati personali. Infine, per evitare l’occultamento delle violazioni, è fondamentale che la direttiva investa la competente autorità nazionale di regolamentazione del potere di comminare sanzioni pecuniarie⁸ nei casi in cui il fornitore di servizi omette di riferire o riferisce in modo incorretto le violazioni di dati personali alle persone interessate e/o all’autorità stessa.

Tipologie di violazioni da notificare alle persone interessate: il concetto di effetti negativi

Il gruppo si compiace per l’introduzione, all’articolo 2⁹, di una nuova definizione di “violazione dei dati personali”, proposta nei commenti della Commissione¹⁰. Il gruppo constata tuttavia che le tre proposte ricorrono ad una diversa formulazione per indicare le circostanze in cui le violazioni vanno notificate alle persone interessate. Il gruppo raccomanda pertanto che le persone interessate ricevano notifica delle violazioni di sicurezza tali da occasionare effetti negativi per la vita privata e la tutela dei dati personali. Il considerando 29 dell’accordo del Consiglio fornisce esempi utili a tal fine.

Le persone cui notificare la violazione

Il gruppo esprime compiacimento per i riferimenti a “abbonato o singolo”, a “utenti interessati” e a “autorità nazionale competente” inseriti nel considerando 29 degli emendamenti del Parlamento¹¹. L’accordo del Consiglio limita le notifiche agli “abbonati” e quindi alcune violazioni dei dati personali descritte nel parere 2/2008 non saranno notificate agli interessati.

Il gruppo riconosce la necessità, in occasione di notifiche di violazioni, di fornire informazioni sulle circostanze della violazione, in particolare se i dati a carattere personale fossero protetti o meno mediante cifratura; si tratta di informazioni essenziali affinché, in relazione ad una violazione, la competente autorità nazionale di regolamentazione possa individuare gli interventi adeguati da approntare eventualmente con il fornitore di servizi.

Il gruppo non è tuttavia d’accordo ad esentare da notifica¹² quelle violazioni in cui i fornitori di servizi hanno approntato “le opportune misure di protezione tecnologica e che tali misure erano state applicate ai dati interessati dalla violazione della sicurezza”.

Si tratta di una disposizione destinata a ridurre in modo significativo la qualità e l’utilità delle informazioni fornite alle persone interessate. Solo se debitamente informati, gli utenti interessati potranno essere in grado di adottare provvedimenti adeguati per ridurre i rischi cui sono esposti. Il gruppo sottolinea pertanto l’importanza del formato della notifica e della valutazione del rischio ai fini di decidere se informare o meno le persone interessate, indipendentemente dalle misure tecniche realmente adottate a protezione dei loro dati personali.

Nel nuovo articolo 6, paragrafo 6, lettera a), il Parlamento, il Consiglio e la Commissione propongono di inserire nella direttiva relativa alla vita privata e alle comunicazioni elettroniche una nuova esenzione riguardante il trattamento dei dati sul traffico per motivi di sicurezza.

Il gruppo è al corrente che le soluzioni cui i “fornitori di servizi di sicurezza” ricorrono¹³ a tutela della sicurezza (quali programmi antivirus e antispam, firewall o sistemi di rilevazione intrusioni) possono richiedere il trattamento dei dati sul traffico finalizzato a garantire la sicurezza dei dati personali degli utenti e a tutelare il servizio stesso. Ciononostante il gruppo nutre apprensioni che l’attuale formulazione possa rendere legittimo un uso esteso di dispositivi di filtraggio DPI¹⁴, sia in rete che nell’apparecchiatura dell’utente come le scatole ADSL, laddove l’attuale quadro normativo distingue già i casi in cui è consentito il trattamento dei dati sul traffico per motivi di sicurezza.

La base giuridica che consente il trattamento dei dati sul traffico da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico e il trattamento dei dati personali da parte del responsabile del trattamento è in effetti costituita dall’articolo 6 della direttiva relativa alla vita privata e alle comunicazioni elettroniche e dagli articoli 7 e 17 della direttiva sulla tutela dei dati. In forza dell’articolo 7, lettera f), della direttiva sulla tutela dei dati, il trattamento di dati personali può essere effettuato qualora necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento e a condizione che prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata. L’articolo 17 della suddetta direttiva pone inoltre l’obbligo per il responsabile del trattamento di “attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati [...] o da qualsiasi altra forma illecita di trattamento di dati personali”. Le misure adottate devono essere altresì proporzionate ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

Sottolineando che i commenti della Commissione chiariscono la portata dell’emendamento 180 del Parlamento, il gruppo constata che la formulazione proposta dalla Commissione stabilisce al di là di ogni ragionevole dubbio che il trattamento dei dati è di pertinenza della direttiva sulla tutela dei dati. Pertanto, ogni qualvolta risulti necessario, i fornitori di servizi di sicurezza invieranno una notifica alle autorità nazionali garanti della protezione dei dati e assicureranno l’esercizio dei diritti degli interessati.

Il gruppo ricorda infine che il trattamento dei dati sul traffico a fini di sicurezza è già effettuato negli Stati membri che hanno adottato misure ai sensi dell’articolo 15, paragrafo 1, della direttiva relativa alla vita privata e alle comunicazioni elettroniche che autorizza l’adozione di disposizioni legislative in deroga al principio dell’anonimità o della cancellazione di dati sul traffico¹⁵ non più necessari ai fini della trasmissione di una comunicazione, onde prevenire un uso non autorizzato del sistema di comunicazione elettronica.

Alla luce dei motivi su esposti, la proposta di un nuovo articolo 6, paragrafo 6, lettera a), non risulta necessaria.

Il Parlamento e la Commissione propongono di introdurre un nuovo considerando (27 bis) sugli indirizzi IP¹⁶.

Il gruppo, pur compiacendosi per la formulazione proposta nei commenti della Commissione che fa specificatamente riferimento al suo operato, non sottoscrive tuttavia la proposta di inserire un riferimento esplicito alla presente questione in una direttiva. In tal senso, il gruppo ribadisce quanto osservato nel precedente parere¹⁷ che “…, a meno di poter distinguere con assoluta certezza che i dati corrispondano a utenti non identificabili, il fornitore di servizi Internet dovrà trattare tutte le informazioni IP come dati personali, per maggiore sicurezza”.

Gli indirizzi IP riguardano nella maggior parte dei casi persone identificabili.

L’identificazione può avvenire tanto tramite il fornitore di accesso che in altri modi, ad esempio sfruttando altri identificatori quali i cookies oppure l’interazine con servizi internet che richiedono l’identificazione esplicita o implicita dell’interessato.

Il considerando 26 della direttiva sulla tutela dei dati specifica esplicitamente che, per determinare se una persona è identificabile, “è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona”.

La definizione di dati personali fornita della succitata direttiva fa riferimento ad informazioni “concernenti” una persona e gli indirizzi IP sono comunemente utilizzati per distinguere tra utenti cui va riservato diverso trattamento, ad esempio nella trasmissione di messaggi pubblicitari mirati o nella creazione di profili.

Il gruppo è disposto ad assistere la Commissione nell’intraprendere il lavoro suggerito dal Parlamento europeo sugli indirizzi IP¹⁸, anche se, con la Commissione, non trova particolarmente opportuno trattare la questione in una disposizione sostanziale di una direttiva, come trova inopportuno l’obbligo di presentare una relazione “per fini non previsti dalla presente direttiva”.

Il Parlamento ha adottato in prima lettura l’emendamento 136 riguardante l’articolo 15 della direttiva relativa alla vita privata e alle comunicazioni elettroniche, successivamente modificato dai commenti della Commissione. La proposta imporrebbe un obbligo a tutti i fornitori di servizi di comunicazione elettronica e di servizi della società dell’informazione di notificare alle autorità indipendenti garanti della protezione dei dati tutte le richieste “ricevute conformemente al paragrafo 1”¹⁹ e un obbligo per le suddette autorità di indagare tutte le richieste e di notificare “alle autorità giudiziarie competenti i casi in cui ritiene che le pertinenti disposizioni legislative nazionali non siano state rispettate”.

La notifica proposta è un’utile aggiunta nell’interesse di una maggiore trasparenza e di un maggior controllo da parte delle autorità di regolamentazione. Tuttavia, sebbene una siffatta disposizione potenzierebbe notevolmente la capacità di supervisione e di applicazione della legge da parte delle autorità garanti della protezione dei dati, contribuendo pertanto ulteriormente affinché l’accesso all’informazione si svolga nei limiti della legalità, essa graverebbe tanto le imprese interessate che le autorità garanti della protezione dei dati con un ulteriore onere amministrativo. A tale riguardo, il gruppo nutre apprensione che, poste nella necessità di monitorare il numero crescente di richieste²⁰ trattate dalle autorità giudiziarie e di controllare tutte le singole inchieste giudiziarie, le autorità garanti si confrontino con un aumento sostanziale del fabbisogno di risorse finanziarie e umane.

Il gruppo propone pertanto che la suddetta notifica abbia cadenza annuale e che fornisca dettagli sulle procedure interne utilizzate per rispondere alle richieste di accesso ai dati personali dell’utente, sul numero di richieste ricevute, sulla base giuridica addotta e sugli eventuali problemi riscontrati. È inoltre opportuno che l’obbligo di notifica così posto venga armonizzato e dettagliato a livello UE.

L’emendamento 131 del Parlamento chiarisce che gli MMS e tecnologie simili rientrano nella definizione di “posta elettronica” di cui all’articolo 2, lettera h).

In primo luogo, il gruppo osserva che il considerando 40 della direttiva relativa alla vita privata e alle comunicazioni elettroniche già chiarisce che gli SMS rientrano nella definizione di posta elettronica²¹.

In secondo luogo, è necessario adeguare l’articolo 13, paragrafo 1, tenendo conto delle tecnologie emergenti, conformemente al principio posto al considerando 4²². Come attualmente formulato, l’articolo 13, paragrafo 1, parte dall’assunto che l’interessato sia già connesso alla rete su cui transita la comunicazione (ad esempio una telefonata o un messaggio di posta elettronica). Non sono pertanto contemplati i casi in cui l’abbonato sia sollecitato a connettersi ad una rete esclusivamente dedicata a messaggi pubblicitari, un eventuale caso tipico se si pensa alle applicazioni marketing bluetooth.

Il gruppo si compiace pertanto dei chiarimenti forniti nei commenti della Commissione secondo cui la portata dell’articolo 13 riguarda principalmente l’uso della parola “comunicazione” e il nuovo considerando fa riferimento a “tecnologie simili”. Viene così garantito il carattere necessario del previo consenso dell’utente per le applicazioni marketing bluetooth, tenendo conto in tal modo delle osservazioni formulate dal gruppo nel parere 2/2008 riguardo la necessità di “tutelare gli utenti di connessioni wireless a corto raggio dalle comunicazioni non desiderate, come previsto all’articolo 13”. Il considerando 40 potrebbe eventualmente contemplare un esplicito riferimento a bluetooth.

In terzo luogo, il gruppo ricorda le osservazioni espresse nel parere 2/2008 riguardo l’uso del termine “abbonato” di cui all’articolo 13 e prende nota con soddisfazione della formulazione proposta dall’accordo del Consiglio.

Infine, la proposta del Consiglio di modificare l’articolo 13, paragrafo 2, aggiungendo la frase “al momento della raccolta delle coordinate” è inoltre molto utile in quanto specifica in modo inequivocabile il momento in cui gli utenti sono in condizione di opporsi all’uso delle proprie coordinate elettroniche ai fini della pubblicità diretta.

Il gruppo è decisamente contrario all’emendamento 128 adottato dal Parlamento secondo cui le impostazioni del programma di navigazione sono un modo per esprimere un consenso preliminare. Sebbene l’emendamento sia ripreso nei commenti della Commissione e nell’accordo del Consiglio, il gruppo intende esprimersi a riguardo.

Prescindendo dal problema formale insito nella creazione da parte della direttiva di un siffatto linguaggio tecnico-specifico, il gruppo teme per l’erosione del concetto di consenso e per la mancanza di trasparenza che ne consegue.

Le impostazioni predefinite di molti programmi di navigazione non consentono all’utente di essere informato circa i tentativi di memorizzazione o di accesso alla sua apparecchiatura terminale. Le impostazioni predefinite dei programmi di navigazione, per quanto si debbano “rispettose della privacy”, non possono pertanto essere un mezzo per l’utente di manifestare la propria volontà libera, specifica e informata, come richiesto all’articolo 2, lettera h), della direttiva sulla tutela dei dati.

Per quanto riguarda i cookies, il gruppo è del parere che chi si avvale di questi dispositivi debba informarne l’utente nella dichiarazione sulla riservatezza e non far affidamento alle impostazioni (predefinite) dei programmi di navigazione. Peraltro la formulazione prescelta non si limita ai cookies ma include qualsiasi tecnologia atta ad individuare il comportamento dell’utente del programma di navigazione.

Il gruppo è a favore della proposta del Parlamento²³ di introdurre all’articolo 13, paragrafo 6, la possibilità “per ogni persona fisica o giuridica avente un interesse legittimo nella lotta contro le violazioni delle disposizioni nazionali” adottate ai sensi della direttiva relativa alla vita privata e alle comunicazioni elettroniche di promuovere un’azione giudiziaria.

Si tratta di una norma destinata senza dubbio a potenziare i diritti degli utenti e a contribuire allo sviluppo di migliori pratiche in materia di sicurezza da parte degli operatori del settore.

Il gruppo prende infine nota con soddisfazione:

- che il legislatore intende sanzionare le pratiche di phising²⁴;

- che la Commissione e il Consiglio hanno tenuto conto²⁵ della richiesta del gruppo di essere consultato nell’ambito della procedura di comitatologia prevista all’articolo 4, paragrafo 4;

- di essere stato inserito nel processo di consultazione di cui all’articolo 15 bis, paragrafo 4;

- che sarà consultato in occasione dell’elaborazione della relazione sull’applicazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche rivista²⁶;

- del fatto che la Commissione, il Consiglio e il Parlamento desiderino chiarire che le disposizioni della direttiva relativa alla vita privata e alle comunicazioni elettroniche si applicano alle tecnologie emergenti, quali RFID²⁷ o NFC, basate su dispositivi di identificazione a radiofrequenza senza contatto.