IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI, visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8, vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ( visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati(2 vista la direttiva 2002/58/CE delParlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamentodei dati personali e alla tutela della vita privata nel settore dellecomunicazioni elettroniche (3 HA ADOTTATO IL SEGUENTE PARERE:
I. INTRODUZIONE 1. Il 19 aprile 2011 la Commissioneha adottato una comunicazione sull'apertura e la neutralità della rete Internetin Europa (4 2. Il presente parere può essereconsiderato la reazione del GEPD a tale comunicazione e mira a contribuire aldibattito politico in corso nell'Unione europea sulla neutralità della rete, inparticolare sugli aspetti relativi alla protezione dei dati e della vitaprivata. 3. Il parere si basa sulla risposta ( I.2. Il concetto di neutralità dellarete 4. La neutralità della rete fariferimento a un dibattito in corso sull'opportunità o meno di permettere che ifornitori di servizi Internet [ISP ( 5. Il filtraggio, il blocco e ilcontrollo del traffico di rete sollevano questioni importanti, spessotrascurate o messe in secondo piano, che riguardano la riservatezza dellecomunicazioni e il rispetto della vita privata delle persone fisiche e dei lorodati personali, quando usano Internet. Per esempio, determinate tecniche dicontrollo comportano il monitoraggio del contenuto delle comunicazioni, deisiti visitati, delle e-mail inviate e ricevute, degli orari in cui questeoperazioni avvengono e simili, permettendo di filtrare le comunicazioni. 6. Controllando i dati dellecomunicazioni, gli ISP potrebbero violarne la riservatezza, che è un dirittofondamentale garantito dall'articolo 8 della Convenzione europea per lasalvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU) e dagliarticoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea. Lariservatezza è inoltre tutelata nella legislazione derivata dell'Unioneeuropea, in particolare dall'articolo 5 della direttiva e-privacy. I.3. Obiettivo e struttura del parere 7. Il GEPD ritiene che un seriodibattito politico sulla neutralità della rete debba occuparsi dellariserva tezza delle comunicazioni e dellealtre conseguenze per la protezione dei dati e della vita privata. 8. Il presente parere contribuisce aldibattito in corso a livello di Unione europea. Il suo obiettivo è triplice: — pone in risalto l'attinenzadella protezione dei dati e della vita privata nelle attuali discussioni sullaneutralità della rete, sottolineando in particolar modo la necessità dirispettare le norme vigenti in materia di riservatezza delle comunicazioni.Devono essere ammesse solo le pratiche che rispettano tali norme, — la neutralità della reteriguarda possibilità (tecnologiche) relativamente nuove e l'esperienza circa lemodalità di applicazione del quadro giuridico è scarsa. Il presente parerefornisce pertanto un orientamento su come gli ISP debbano applicare erispettare il quadro giuridico sulla protezione dei dati se si impegnano afiltrare, bloccare e controllare il traffico di rete. Ciò dovrebbe essere utileper gli ISP e anche per le autorità incaricate di attuare il quadro, — nell'ambito della protezionedei dati e della vita privata, il presente parere identifica settori ai quali ènecessario rivolgere particolare attenzione e che possono richiedere interventida parte dell'Unione europea. Ciò è particolarmente importante alla luce deldibattito in corso a livello europeo e delle misure di politica che laCommissione potrebbe adottare in tale contesto. 9. Il GEPD è consapevole che laneutralità della rete solleva altre questioni, descritte più dettagliatamentequi di seguito, come quelle relative all'accesso alle informazioni. Taliquestioni vengono affrontate soltanto per il motivo che sono collegate alla protezionedei dati e alla vita privata o vi influiscono. 10. Il parere è così strutturato: lasezione II inizia con una breve rassegna delle pratiche di filtraggio degliISP. La sezione III delinea il quadro normativo dell'Unione europea in materiadi neutralità della rete, mentre la sezione IV presenta una descrizionetecnica, seguita da una valutazione delle conseguenze per la vita privata aseconda della tecnologia utilizzata. La sezione V analizza i dettagli praticiriguardanti l'applicazione del quadro europeo attuale in materia di protezionedei dati e della vita privata. La sezione VI, basandosi su tale analisi,contiene suggerimenti per gli sviluppi politici futuri e individua i settori incui potrebbe essere necessario chiarire e migliorare il quadro normativo. Lasezione VII contiene le conclusioni.
II. POLITICHE INMATERIA DI NEUTRALITà DELLA RETE E GESTIONE DEL TRAFFICO 11. Tradizionalmente, gli ISP si sonoimpegnati a monitorare il traffico di rete e a influenzarlo soltanto in casilimitati. Per esempio, gli ISP hanno applicato tecniche di controllo e ridottoi flussi di informazioni per salvaguardare la sicurezza della rete, vale a direper combattere i virus. Pertanto, in generale, Internet è cresciuta conservandoun grado elevato di neutralità. 12. Tuttavia, negli ultimi anni,alcuni ISP hanno mostrato interesse per il controllo del traffico di rete alfine di differenziare e applicare politiche diverse, per esempio per bloccareservizi specifici o dare accesso preferenziale ad altri. Si tratta di quelleche talvolta sono definite «politiche di gestione del traffico» ( 13. I motivi per cui gli ISPcontrollano e differenziano il traffico sono molteplici. Per esempio, lepolitiche di gestione del traffico possono servire agli ISP per regolare iltraffico durante periodi di congestione elevata, dando la priorità ad alcunitipi di traffico in tempo reale come il video streaming a scapito di altrigeneri di traffico nei quali il fattore tempo può essere meno importante, comeil P2P (10 14. Oltre ai motivi per cui gli ISPsi avvalgono di politiche per la gestione del traffico, anche altre partipotrebbero essere interessate al fatto che gli ISP applichino tali politiche.Se questi ultimi gestiscono le loro reti e controllano i contenuti che passanoattraverso le loro infrastrutture, è probabile che aumentino la loro capacitàdi individuare presunti utilizzi illeciti, per esempio la violazione deidiritti d'autore o la pornografia. Altri interessi in gioco, tra cui laprotezione dei dati e della vita privata 15. Tale tendenza ha suscitato undibattito sulla legittimità di questo genere di pratiche e soprattutto sullanecessità o meno di stabilire per legge ulteriori obblighi specifici in materiadi neutralità della rete. 16. L'uso crescente da parte degliISP di politiche per la gestione del traffico potrebbe limitare l'accesso alleinformazioni. Se questo comportamento divenisse una prassi comune e se per gliutenti non fosse possibile (o fosse particolarmente costoso) avere un accesso atutta la rete Internet come la conosciamo, si metterebbe a repentagliol'accesso alle informazioni e la possibilità per l'utente di inviare e riceverei contenuti desiderati utilizzando le applicazioni o i servizi che preferisce.Un principio giuridicamente vincolante relativo alla neutralità della retepotrebbe scongiurare questo problema. 17. Il GEPD è indotto quindi aconsiderare le conseguenze per la protezione dei dati e della vita privataquando gli ISP gestiscono il traffico. In particolare: — quando gli ISP trattano idati sul traffico al solo scopo di instradare il flusso di informazioni dalmittente al destinatario, in genere effettuano un trattamento limitato dei datipersonali (11 — tuttavia, quando gli ISPcontrollano i dati delle comunicazioni per differenziare ciascun flusso eapplicare politiche specifiche che possono risultare pregiudizievoli per lepersone fisiche, le conseguenze sono più rilevanti. A seconda delle circostanzedi ogni caso e del tipo di analisi effettuata, il trattamento può essere moltoinvadente per quanto riguarda la vita privata e i dati personali. Ciò è ancorapiù ovvio quando le politiche di gestione rivelano il contenuto dellecomunicazioni effettuate tramite Internet, tra cui le e-mail inviate ericevute, i siti visitati, i file scaricati o caricati e così via.
III. PANORAMICADEL QUADRO GIURIDICO DELL'UNIONE EUROPEA SULLA NEUTRALITà DELLA RETE EULTERIORI SVILUPPI POLITICI III.1. Il quadro giuridico in sintesi 18. Fino al 2009, gli strumentinormativi europei non contenevano disposizioni che vietassero espressamenteagli ISP di filtrare o bloccare l'accesso ai servizi o di addebitare costiaggiuntivi agli abbonati a tali servizi, né contenevano disposizioni chericonoscessero esplicitamente questa pratica. La situazione non era chiaramentedefinita. 19. Il pacchetto Telecom del 2009 hacambiato la situazione includendo disposizioni che favorivano l'apertura diInternet. Per esempio, l'articolo 8, paragrafo 4 del quadro normativo comuneper le reti ed i servizi di comunicazione («direttiva quadro») impone alleautorità di regolamentazione di promuovere la capacità degli utenti finali diaccedere a contenuti, applicazioni o servizi di loro scelta ( 20. La direttiva servizio universale ( 21. Per quanto riguarda le pratichedegli ISP che comportano il controllo delle comunicazioni tra persone fisiche,il considerando 28 della direttiva recante modifica della direttiva serviziouniversale e della direttiva e-privacy ( 22. Infine, l'articolo 22, paragrafo3, della direttiva servizio universale autorizza le autorità nazionali diregolamentazione a imporre agli ISP, ove necessario, prescrizioni in materia diqualità minima del servizio per impedire il degrado dei servizi e lalimitazione o il rallentamento del traffico sulle reti pubbliche. 23. Quanto sopra esposto significache, a livello di Unione europea, si riscontra una chiara aspirazione a unarete Internet aperta (cfr. articolo 8, paragrafo 4, della direttiva quadro).Tuttavia l'obiettivo di questa politica, che si applica all'intera rete, nonriguarda direttamente divieti od obblighi per i singoli ISP. In altre parole,un ISP potrebbe attuare politiche di gestione del traffico, con la possibilitàdi escludere l'accesso a talune applicazioni, purché gli utenti finali sianopienamente informati e abbiano espresso il loro consenso liberamente, in modospecifico e inequivocabile. 24. La situazione può presentareaspetti differenti a seconda degli Stati membri. In alcuni di essi gli ISPpossono, a determinate condizioni, adottare politiche di gestione del traffico,per esempio, per bloccare applicazioni come il VoIP (nell'ambito di unabbonamento a Internet a prezzo inferiore), a patto che le persone interessateabbiano dato liberamente, in modo specifico e inequivocabile il loro consensoinformato. Altri Stati membri hanno deciso di rafforzare il principio dineutralità della rete. Per esempio, nel luglio 2011 il parlamento olandese havarato una legge che vieta in generale ai provider di limitare o rallentare leapplicazioni o i servizi in Internet (come il VoIP), a meno che ciò non sianecessario per ridurre al minimo gli effetti della congestione, per motivi diintegrità o di sicurezza, per impedire lo spam o in seguito alla sentenza di untribunale (16 III.2. La comunicazione sullaneutralità della rete 25. Nella sua comunicazione sullaneutralità della rete (17 26. In base alla comunicazione dellaCommissione, qualsiasi misura e qualsiasi ulteriore provvedimento normativoverranno sottoposti a una valutazione approfondita degli aspetti relativi allaprotezione dei dati e alla vita privata. Il progetto di conclusioni delConsiglio accenna inoltre ai temi in gioco che riguardano la protezione deidati e la vita privata (18 27. Ciò che occorre valutare dalpunto di vista della protezione dei dati e della vita privata è se una politicaattendista sia sufficiente oppure no. Sebbene il quadro in materia diprotezione dei dati e della vita privata preveda attualmente alcune clausole disalvaguardia, soprattutto in virtù del principio di riservatezza dellecomunicazioni, risulta necessario monitorare da vicino il livello di conformitàe l'orientamento in merito a diversi aspetti che non sono particolarmente chiari.Inoltre, vanno fatte alcune considerazioni su come semplificare e migliorareulteriormente il quadro alla luce degli sviluppi tecnologici. Se ilmonitoraggio rivela un'evoluzione del mercato verso un controllo massiccio e intempo reale delle comunicazioni e delle questioni relative alla conformità alquadro, si renderanno necessarie misure legislative. A questo proposito, nellasezione VI saranno forniti suggerimenti concreti.
IV. CONTESTOTECNICO E RELATIVE CONSEGUENZE PER LA PROTEZIONE DEI DATI E DELLA VITA PRIVATA 28. Prima di approfondirel'argomento, è importante avere un'idea più chiara delle tecniche di controlloche possono essere utilizzate dagli ISP per gestire il traffico e degli effettiche possono avere sul principio della neutralità della rete. Le conseguenze perla protezione dei dati e della vita privata derivanti da tali tecniche varianosensibilmente in base alla tecnica o alle tecniche impiegate. Questo contestotecnico è necessario per comprendere e applicare correttamente il quadro giuridicoin materia di protezione dei dati descritto nella sezione V. Tuttavia, occorresottolineare che questo settore è complesso e costantemente in evoluzione,pertanto la descrizione che segue non intende essere esaustiva né pienamenteaggiornata, ma soltanto fornire le informazioni di carattere tecnico che sonoindispensabili per comprendere le motivazioni giuridiche.
IV.1. La trasmissione di informazioniattraverso Internet: i fondamenti 29. Quando un utente trasmette unacomunicazione via Internet, le informazioni inviate vengono divise inpacchetti. I pacchetti vengono trasmessi attraverso Internet dal mittente aldestinatario e ciascuno di essi include, tra gli altri, informazioni sullafonte e sulla destinazione. Inoltre gli ISP possono incapsulare i pacchetti inulteriori strati e protocolli (19 30. Riallacciandosi alla similitudinecon le lettere postali, utilizzare un protocollo di trasmissione di rete equivalea inserire una lettera tradizionale in una busta recante l'indirizzo deldestinatario da far leggere al servizio postale, che successivamente consegnala busta. Il servizio postale può utilizzare protocolli aggiuntivi nell'ambitodei suoi transiti interni per gestire tutte le buste da trasmettere affinchéogni busta raggiunga la propria destinazione originariamente specificata dalmittente. In base a questa similitudine, ciascun pacchetto consta di due parti,il payload IP che include il contenuto della comunicazione, equivale allalettera e contiene informazioni che sono indirizzate soltanto al destinatario.La seconda parte del pacchetto è l'header IP, che comprende, tra gli altri, gliindirizzi del destinatario e del mittente ed equivale alla busta. L'header IPconsente agli ISP e ad altri intermediari di inoltrare il payloaddall'indirizzo di partenza al suo indirizzo di destinazione. 31. Gli ISP e gli altri intermediarigarantiscono che i pacchetti IP viaggino nella rete attraverso nodi che leggonole informazioni dell'header IP, le controllano facendo riferimento a tabelle diinstradamento (routing tables) e poi le inoltrano al nodo successivo lungo ilpercorso che porta alla destinazione. Questo processo avviene attraverso larete utilizzando un approccio «per quanto possibile senza memoria», dal momentoche tutti i pacchetti che pervengono a un nodo vengono trattati in modoneutrale. Quando vengono inoltrati al nodo successivo non occorre conservareulteriori informazioni nel router (
IV.2. Tecnologie di controllo 32. Come menzionato in precedenza,gli ISP leggono gli header IP allo scopo di instradarli verso la lorodestinazione. Tuttavia, si è accennato al fatto che l'analisi del traffico (checoinvolge gli header IP e i payload IP) può essere effettuata per altri scopi econ tipi di tecnologie diversi. Tra le nuove tendenze figurano, per esempio, ilrallentamento di determinate applicazioni utilizzate dagli utenti, per esempioil P2P, o in alternativa l'aumento della velocità del traffico per taluniservizi come il video on demand per gli abbonati premium. Benché tutte letecnologie di controllo eseguano tecnicamente l'ispezione del pacchetto, ilivelli di invadenza che comportano sono differenti. Se ne distinguono duecategorie principali: una si basa soltanto sull'header IP, l'altra anche sulpayload IP. — Ispezione approfondita dei pacchetti di dati basata sull'analisi diprotocolli e su dati statistici. Oltre al protocollo IP, il cui scopo èpermettere la trasmissione dei dati via Internet, esistono protocolliaggiuntivi che codificano le informazioni trasmesse secondo una modalitàconcordata (trasporto, sessione, presentazione e applicazione, e così via).Obiettivo di questi protocolli è garantire che le parti interessate allacomunicazione possano comprendersi reciprocamente. Esistono per esempioprotocolli impiegati per navigare in Internet ( — Ispezione approfondita dei pacchetti di dati basata sull'analisi delcontenuto della comunicazione. Infine, è possibile anche verificare imetadati (24
IV.3. Conseguenze per la protezionedella vita privata e dei dati 33. Le tecnologie di controllo basatesugli header IP e, in particolare, sull'ispezione dei pacchetti, comportano ilmonitoraggio e il filtraggio dei dati e hanno gravi conseguenze per laprotezione della vita privata e dei dati. Inoltre possono essere incompatibilicon il diritto alla riservatezza delle comunicazioni. 34. Il fatto di leggere lecomunicazioni delle persone comporta di per sé gravi conseguenze per laprotezione della vita privata e dei dati. Eppure, il problema è più ampio inquanto, a seconda degli effetti dovuti al monitoraggio e all'intercettazione,le conseguenze per la vita privata possono rivelarsi ancora più numerose.Infatti, limitarsi a controllare le comunicazioni, per esempio, solo pergarantire che il sistema funzioni bene non è lo stesso che controllarle perapplicare politiche che possono avere un impatto sulle persone fisiche. Quandole politiche riguardanti il traffico e le scelte mirano soltanto a evitare lacongestione della rete, non ci sono gravi conseguenze per la vita privata dellepersone. Tuttavia, le politiche di gestione del traffico possono avere lo scopodi bloccare alcune informazioni sul contenuto o influire sulla comunicazione,per esempio con la pubblicità comportamentale. In questo caso gli effetti sonopiù invasivi. La questione diventa più critica se ci si rende conto che questotipo di informazioni verrebbe raccolto non in relazione a un piccolo gruppo dipersone, bensì su base generale, comprendendo tutti i clienti degli ISP ( 35. L'applicazione corretta delletecnologie di monitoraggio, controllo e filtraggio deve avvenire in conformitàalle clausole di salvaguardia sulla protezione dei dati e sulla vita privata,che stabiliscono limiti riguardo a ciò che si può fare e in quali circostanze.Nella prossima sezione viene fornita una panoramica delle clausole disalvaguarda applicabili in base all'attuale quadro giuridico europeo in materiadi protezione dei dati e sulla vita privata.
V. APPLICAZIONEDEL QUADRO GIURIDICO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI E DELLA VITAPRIVATA 36. Il quadro normativo europeo inmateria di protezione dei dati è neutrale per quanto riguarda le tecnologie e,come tale, non disciplina quelle specifiche di controllo descritte inprecedenza. La direttiva e-privacy disciplina il rispetto della vita privatanell'offerta di servizi di comunicazione elettronica nelle reti pubbliche (inparticolare l'accesso a Internet e la telefonia) (
V.1. Basi giuridiche per iltrattamento dei dati sul traffico e sui contenuti 37. In base alla normativa sullaprotezione dei dati, il trattamento dei dati personali, quali sono nel casospecifico i dati sul traffico e sulle comunicazioni, richiede una basegiuridica adeguata. Oltre a questo requisito generale, in determinati casi sipossono applicare requisiti specifici. 38. In questo caso, il tipo di datipersonali che vengono trattati dagli ISP è costituito dai dati sul traffico edal contenuto delle comunicazioni. Sia i primi che il secondo sono protetti daldiritto alla riservatezza della corrispondenza, garantito dall'articolo 8 dellaConvenzione europea per la salvaguardia dei diritti dell'uomo e dagli articoli7 e 8 della Carta europea dei diritti fondamentali. In particolare, l'articolo5, paragrafo 1 della direttiva e-privacy, intitolato «riservatezza dellecomunicazioni» richiede agli Stati membri di assicurare la riservatezza dellecomunicazioni e dei relativi dati sul traffico tramite la rete pubblica dicomunicazione e i servizi di comunicazione elettronica accessibili al pubblico,prevedendo al contempo che il trattamento dei dati sul traffico e sul contenutoda parte degli ISP possa essere consentito, in determinate circostanze, previoconsenso degli utenti, dal momento che la norma in questione vieta «l'ascolto,la captazione, la memorizzazione e altre forme di intercettazione o disorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera dipersone diverse dagli utenti, senza consenso di questi ultimi, eccetto quandosia autorizzato legalmente a norma dell'articolo 15, paragrafo 1». Ciò vieneulteriormente esaminato in seguito. 39. Oltre al consenso degli utentiinteressati, la direttiva e-privacy contempla altre ragioni che possonolegittimare il trattamento dei dati sul traffico e sulla comunicazione ad operadegli ISP. In questo caso le basi giuridiche per il trattamento riguardano i)la fornitura del servizio, ii) la salvaguardia della sicurezza del servizioofferto e iii) la riduzione al minimo della congestione. Altre motivazionipossibili che legittimino le politiche di gestione basate sui dati sul trafficoo sulle comunicazioni sono discussi infra al punto iv). i) Ba s i g i u r i d i c h e p e r l a f o r n i t u r a d e l s e r v i z io 40. Come illustrato nella sezione IV,gli ISP trattano le informazioni sugli header IP per instradare ogni pacchettoIP verso la sua destinazione. L'articolo 6, paragrafi 1 e 2, della direttivae-privacy permette di trattare i dati sul traffico allo scopo di trasmettere lacomunicazione. Pertanto, gli ISP possono trattare le informazioni necessarieper la fornitura del servizio. ii) B as i g i u r i d i c h e p e r l a s a l v a g u a r d i a d e l l a s i cu r e z z a d e l s e r v i z i o 41. Ai sensi dell'articolo 4 delladirettiva e-privacy, un ISP è tenuto all'obbligo generale di prendereappropriate misure per salvaguardare la sicurezza dei suoi servizi. La praticadi filtrare i virus può comportare il trattamento degli header IP e dei payloadIP. Considerando che l'articolo 4 della direttiva e- privacy richiede agli ISPdi garantire la sicurezza della rete, questa disposizione legittima tecnologiedi controllo basate sul contenuto e sugli header IP che mirino esclusivamenteal conseguimento di questo fine. In pratica, ciò significa che, nei limitistabiliti dal principio di proporzionalità (cfr. sezione V.3), gli ISP possonomonitorare e filtrare i dati delle comunicazioni per combattere i virus egarantire in generale la sicurezza della rete ( iii) B a s i g i u r i d i c h e p e r l a r i d u z i o n e a l m i n i m o d eg l i e f f e t t i d e l l a c o ng e s t io n e 42. La ragion d'essere di questa basegiuridica è contenuta nel considerando 22 della direttiva e-privacy, che spiegail divieto di memorizzare le comunicazioni stabilito dall'articolo 5, paragrafo1. Il divieto non riguarda eventuali memorizzazioni automatiche, intermedie etemporanee, a patto che vengano effettuate a scopo di trasmissione e non durinoper un periodo superiore a quanto necessario per la trasmissione e ai finidella gestione del traffico e che sia assicurata la riservatezza dellecomunicazioni. 43. In caso di congestione, si poneil problema della possibilità o meno per gli ISP di ritardare o interromperecasualmente il traffico o di rallentare le comunicazioni per le quali ilfattore tempo è meno importante, come il P2P o le e-mail, consentendo, adesempio, per il traffico vocale il passaggio a una qualità accettabile. 44. Considerato l'interesse generaledella società per la garanzia di una rete di comunicazioni utilizzabile, gliISP potrebbero sostenere che dare priorità al traffico o limitarlo perrisolvere il problema della congestione è una misura legittima e indispensabileper fornire un servizio adeguato. Questo vuol dire che in tali casi e a questoscopo ci sarebbe una base giuridica generale per trattare i dati personali enon sarebbe più necessario il consenso specifico degli utenti. 45. Al tempo stesso, la possibilitàdi interferire in questo modo non è priva di restrizioni. Se gli ISP hannobisogno di controllare le comunicazioni, sotto l'aspetto della riservatezza, eapplicando rigorosamente il principio della proporzionalità, devono utilizzareil metodo meno invasivo disponibile per raggiungere lo scopo (evitandol'ispezione approfondita dei pacchetti di dati) e applicarlo solo per il temponecessario per risolvere la congestione. iv) B a s i gi u r i d i c h e p e r i l t r a t t a m e n t o d e i d a t i p e r al t r i s c o p i 46. È possibile che gli ISP intendanocontrollare i dati sul traffico e sui contenuti per altri scopi, tra cui quellodi offrire abbonamenti mirati (per esempio un abbonamento che limiti l'accessoal P2P o che aumenti la velocità di determinate applicazioni). Il controllo el'ulteriore utilizzo dei dati sul traffico e sulle comunicazioni per scopidiversi dalla fornitura del servizio, dalla garanzia della sua sicurezza edell'assenza di congestioni sono permessi soltanto a condizioni rigorose, inconformità al quadro giuridico. 47. Il quadro giuridico èrappresentato principalmente dall'articolo 5, paragrafo 1, della direttivae-privacy che richiede il consenso degli utenti per l'ascolto, la captazione,la memorizzazione o altre forme di intercettazione e di sorveglianza dellecomunicazioni e dei relativi dati sul traffico. In pratica questo significa cheil consenso degli utenti che prendono parte a una comunicazione è necessarioper legittimare il trattamento dei dati sul traffico e sulle comunicazioni, aisensi dell'articolo 5, paragrafo 1. 48. Come spiegato in precedenza,l'applicazione delle tecnologie di controllo e di filtraggio è basata sugliheader IP, ovvero i dati sul traffico, o sull'ispezione approfondita deipacchetti di dati che riguarda anche i payload IP, vale a dire i dati sulla comunicazione.Pertanto, in linea di principio, l'applicazione di queste tecnologie per scopidiversi dalla trasmissione o dalla sicurezza del servizio sarebbe vietata, ameno che una ragione legittima, come il consenso, permetta il trattamento(articolo 5, paragrafo 1). Un esempio di applicazione di quest'articolo è ilcaso in cui un ISP decida di offrire ai clienti l'accesso a Internet a unprezzo ridotto in cambio della ricezione di pubblicità comportamentale,dell'utilizzo dell'ispezione approfondita dei pacchetti di dati econseguentemente dei dati sulla comunicazione. Il consenso effettivo, specificoe informato si rende quindi necessario a norma dell'articolo 5, paragrafo 1. 49. Inoltre, l'articolo 6 delladirettiva e-privacy, dal titolo «dati sul traffico», stabilisce alcune normeche si applicano appositamente ai dati sul traffico. In particolare, prevede lapossibilità per gli ISP di trattare i dati sul traffico, sempre che l'utenteabbia dato il proprio consenso, per la fornitura di servizi a valore aggiunto ( 50. In pratica, non è sempre facilestabilire in quali casi il consenso sia necessario e in quali altri lasicurezza della rete possa giustificare il trattamento, soprattutto se gliscopi delle tecnologie di controllo sono duplici (ad esempio, evitare lacongestione e fornire servizi a valore aggiunto). Va sottolineato che ilconsenso non si può considerare una scorciatoia comoda e sistematica perottenere la conformità ai principi su cui si fonda la protezione dei dati. 51. Scarsa è l'esperienzanell'applicazione del quadro, in particolare per quanto riguarda i vari aspettidescritti in precedenza. Si tratta di un settore in cui sono essenzialiulteriori orientamenti, come specificato nella sezione VI. Inoltre, esistonoaltri aspetti pertinenti, relativi all'ottenimento del consenso, che richiedonoanch'essi una particolare considerazione e sono descritti di seguito.
V.2. Aspetti relativi al consensoinformato come base giuridica 52. Il consenso richiesto in baseagli articoli 5 e 6 della direttiva e-privacy ha lo stesso significato delconsenso della persona interessata come definito e ulteriormente determinatonella direttiva 95/46/CE (29 53. Gli ISP che richiedono ilconsenso per effettuare il controllo e il filtraggio dei dati sul traffico esui contenuti devono pertanto accertarsi che il consenso sia libero e specificoe sia una manifestazione di volontà pienamente informata con la quale unapersona fisica accetta che i dati personali che la riguardano siano oggetto diun trattamento. Il considerando 17 della direttiva e-privacy ribadisce taleconcetto: «[...]. Il consenso può essere fornito secondo qualsiasi modalitàappropriata che consenta all'utente di esprimere liberamente e in conoscenza dicausa i suoi desideri specifici, compresa la selezione di un'apposita casellanel caso di un sito Internet». Qui di seguito vengono forniti alcuni esempipratici di cosa si intenda in tale contesto per consenso libero, specifico einformato. Consenso: manifestazione di volontàlibera, specifica e informata 54. Consenso libero. Gli utenti non devono esseresoggetti a costrizioni per quanto riguarda il consenso all'abbonamento a Internet cheintendono sottoscrivere. 55. Le persone non fornirebberoliberamente il loro consenso se, per ottenere l'accesso a un servizio dicomunicazione, dovessero acconsentire a che i dati delle loro comunicazionivengano monitorati. Ciò vale ancor più se tutti i provider in un determinatomercato gestissero il traffico per finalità che vanno al di là della sicurezzadella rete. La sola opzione che resterebbe a disposizione degli utenti sarebbequella di non abbonarsi affatto ai servizi Internet. Poiché la rete Internet èdiventata uno strumento essenziale sia per il lavoro che per lo svago, lascelta di non abbonarsi a un servizio Internet non costituisce una validaalternativa. Ne conseguirebbe che le persone non avrebbero una possibilità discelta vera e propria, il che equivale a dire che non potrebbero fornire unconsenso libero (31). 56. Il GEPD ritiene che per laCommissione e le autorità nazionali sia evidentemente necessario monitorare ilmercato, soprattutto per stabilire se questa situazione — che vede iprovider associare i servizi di telecomunicazione al monitoraggio dellecomunicazioni — stia diventando la norma. I provider dovrebbero offrireservizi alternativi, compreso un abbonamento a Internet non soggetto allagestione del traffico, senza imporre costi più elevati alle personeinteressate. 57. Consenso specifico. L'esigenza di un consenso che sia specificoimplica, in questo caso, che gli ISP lo richiedano in maniera chiara e distintaquando riguarda il monitoraggio dei dati sul traffico e sulle comunicazioni.Secondo il gruppo di lavoro «articolo 29», «... per essere specifico, ilconsenso dev'essere comprensibile: dovrebbe cioè riferirsi chiaramente eprecisamente al campo di applicazione e alle conseguenze del trattamento dei dati.Non può riferirsi a un insieme illimitato di attività di trattamento. Ciòsignifica, in altre parole, che il contesto al quale si applica il consenso èlimitato». Difficilmente si ottiene un consenso specifico se il consenso alcontrollo dei dati sul traffico e sulle comunicazioni viene «abbinato» alconsenso generale riguardante l'abbonamento al servizio. La specificità implicainvece l'utilizzo di mezzi mirati per ottenere il consenso, per esempio unmodulo di consenso specifico o una casella separata da barrare che facciachiaramente riferimento alla finalità del monitoraggio dei dati (anzichél'inclusione delle informazioni nelle condizioni generali del contratto el'obbligo di firmarlo). 58. Consenso informato. Per essere valido, il consenso deve essereinformato. La necessità di fornire informazioni preliminari adeguate deriva nonsolo dalla direttiva e-privacy e dalla direttiva sulla protezione dei dati, maanche dagli articoli 20 e 21 della direttiva servizio universale, modificatadalla direttiva 2009/136/CE (32 59. Data la complessità delletecnologie di monitoraggio, fornire informazioni preliminari pertinenti è unodei principali presupposti per il conseguimento di un consenso valido. Iconsumatori dovrebbero essere informati in modo che possano comprendere qualidati vengono sottoposti a trattamento, come vengono utilizzati e gli effettisull'esperienza dell'utente nonché il livello di invasività della vita privatache tali tecnologie comportano. 60. Ciò significa non solo che leinformazioni devono essere chiare e comprensibili per l'utente medio, ma ancheche devono essere fornite direttamente alle persone in modo palese, affinchénon possano passare inosservate. 61. Manifestazione della volontà. In base al quadro giuridicoapplicabile, il consenso richiede inoltre un atto affermativo da partedell'utente per manifestare la propria approvazione. Un consenso tacito nonsoddisferebbe questo criterio. Anche queste considerazioni confermano che ènecessario impiegare mezzi mirati per ottenere un consenso che permetta all'ISPdi controllare i dati sul traffico e sulle comunicazioni nel contestodell'attuazione di politiche di gestione del traffico. Nel suo recente pareresul consenso, il gruppo di lavoro «articolo 29» ha sottolineato la necessitàdell'articolazione del consenso per quanto concerne i vari elementi checostituiscono il trattamento dei dati. 62. Si potrebbe argomentare che, sele parti coinvolte in una comunicazione non vogliono che gli ISP laintercettino per attuare politiche di gestione del traffico, possono criptarela comunicazione. Questo approccio può essere considerato utile all'attopratico, ma richiede un certo impegno e conoscenze tecniche e non può essereritenuto analogo a un consenso libero, specifico e informato. Inoltre,l'utilizzo di tecniche di cifratura non salvaguarda pienamente la riservatezzadi una comunicazione poiché l'ISP può accedere almeno alle informazionisull'header IP per instradare la comunicazione e può anche effettuare analisistatistiche. 63. In base all'articolo 5, paragrafo1, della direttiva e-privacy, il consenso deve essere accordato dagli utentiinteressati. In molti casi l'utente coincide con l'abbonato, il quale accordail suo consenso nel momento in cui si abbona al servizio di comunicazione. Inaltri casi, compresi quelli in cui può essere interessata più di una persona,il consenso degli utenti deve essere ottenuto separatamente, e questo fattopotrebbe sollevare alcune questioni pratiche, come di seguito descritte. Consenso di tutti gli utentiinteressati 64. L'articolo 5, paragrafo 1 prevedeche il consenso dell'utente legittimi il trattamento. Il consenso deve essereaccordato da tutti gli utenti interessati a una comunicazione. Il motivo è chedi norma una comunicazione riguarda almeno due persone (il mittente e ildestinatario). Per esempio, se un ISP esamina i payload IP relativi a unae-mail, le informazioni sottoposte a controllo riguardano sia il mittente cheil destinatario della e-mail. 65. Durante il monitoraggio e l'intercettazionedel traffico e delle comunicazioni (per esempio, di un certo tipo di trafficosu Internet), per gli ISP può essere sufficiente ottenere il consensodell'utente, ovvero dell'abbonato. Ciò dipende dal fatto che l'altra partecoinvolta nella comunicazione, in questo caso un sito Internet visitato, nonpuò essere considerata un «utente interessato» ( 66. In tale contesto, il GEPD ritieneche gli ISP debbano attenersi ai requisiti giuridici vigenti e attuarepolitiche che non comportano il monitoraggio e il controllo di informazioni.Questo aspetto è ancora più importante nel caso di servizi di comunicazione checoinvolgono terzi i quali non possono acconsentire al monitoraggio, esoprattutto nel caso di e-mail inviate e ricevute (ciò non si applica quando lafinalità è legata a considerazioni di sicurezza). 67. Al contempo, va sottolineato chela normativa nazionale che recepisce l'articolo 5, paragrafo 1, della direttivae-privacy non sempre può risultare soddisfacente a questo proposito, e che ingenerale sembrano necessari orientamenti più adeguati per quanto riguarda irequisiti della direttiva e-privacy in tale contesto. Il GEPD invita pertantola Commissione a intervenire più attivamente al riguardo e a prendereun'iniziativa che potrebbe beneficiare del contributo delle autorità divigilanza che partecipano alle riunioni del gruppo di lavoro «articolo 29» e dialtre parti interessate. Se necessario, si dovrebbe adire la Corte di giustiziaper fare piena chiarezza sul significato e sulle conseguenze dell'articolo 5,paragrafo 1.
V.3. Proporzionalità —principio della minimizzazione dei dati 68. L'articolo 6, lettera c) delladirettiva sulla protezione dei dati sancisce il principio di proporzionalità ( 69. Secondo tale principio, i datipersonali possono essere trattati soltanto se sono «adeguati, pertinenti e noneccedenti rispetto alle finalità per le quali vengono rilevati e/o per le qualivengono successivamente trattati». L'applicazione di questo principio comportala necessità di effettuare una valutazione per determinare se i mezzi impiegatiper il trattamento dei dati e i tipi di dati personali utilizzati sono adatti ese esiste la ragionevole possibilità che conseguano i loro obiettivi. Se laconclusione è che vengono raccolti più dati del necessario, il principio non èsoddisfatto. 70. La conformità al principio diproporzionalità di determinati tipi di tecnologie di controllo deve esserevalutata caso per caso. Non è possibile giungere a conclusioni in abstracto.Tuttavia, si possono indicare diversi aspetti concreti che dovrebbero esserepresi in considerazione nel valutare il rispetto del principio diproporzionalità. 71. La quantità di informazioni trattate. Sorvegliare le comunicazionidei clienti di un ISP nel modo più rigoroso possibile è, nella maggior partedei casi, eccessivo e illegale. Il fatto che ciò si possa fare con mezzi chenon risultano evidenti alle persone e che possa essere difficile per lorocomprendere cosa sta succedendo aggrava l'impatto sulla loro vita privata. GliISP dovrebbero stabilire quali siano i mezzi meno invasivi disponibili per conseguirei risultati richiesti: per esempio, è possibile raggiungere l'obiettivodesiderato con il monitoraggio degli header IP, anziché ricorrere all'ispezioneapprofondita dei pacchetti di dati? Anche quando si ricorre all'ispezioneapprofondita dei pacchetti di dati, può essere sufficiente identificaresoltanto determinati protocolli per avere le informazioni necessarie. Inoltre,può essere opportuna anche l'applicazione di clausole di salvaguardia per laprotezione dei dati, tra cui la pseudo-anonimizzazione. L'esito dellavalutazione deve confermare che il trattamento dei dati rispetta il principiodi proporzionalità. 72. Gli effetti del trattamento (direttamente legati alle sue finalità).Il principio di proporzionalità potrebbe non essere soddisfatto nei casi in cuigli ISP impieghino politiche di gestione del traffico che escludono l'accesso adeterminati servizi senza consentire agli utenti, in cambio, un'equacondivisione dei benefici che ne risultano. 73. È importante rammentare che ilprincipio di proporzionalità viene comunque applicato anche se sono statisoddisfatti altri requisiti giuridici, incluso il caso in cui un ISP abbia, peresempio, ottenuto il consenso dalle persone per effettuare il monitoraggio dicontenuti. Ciò significa che il trattamento dei dati eseguito mediante talemonitoraggio può risultare comunque illegale se viola il principio diproporzionalità, che è fondamentale e implicito.
V.4. Misure organizzative e disicurezza 74. L'articolo 4 della direttivae-privacy impone esplicitamente agli ISP di adottare misure tecniche eorganizzative per garantire i) che l'accesso ai dati personali sia consentitosoltanto a personale autorizzato e per finalità lecite, ii) la protezione deidati personali dal trattamento accidentale o illecito, nonché iii) l'attuazionedi una politica di sicurezza relativamente al trattamento dei dati personali.La stessa direttiva consente, inoltre, alle autorità nazionali competenti dieffettuare audit su queste misure. 75. Inoltre, ai sensi dell'articolo4, paragrafi 3 e 2, della direttiva e-privacy, gli ISP sono anche tenuti ainformare rispettivamente le autorità nazionali competenti in caso diviolazione dei dati e le persone coinvolte qualora sussista il rischio che visiano conseguenze negative per loro a seguito della divulgazione di tali dati. 76. Il trattamento, al fine diapplicare politiche di gestione del traffico, di informazioni personalicontenute nell'ambito di una comunicazione può fornire agli ISP l'accesso adati ancora più sensibili di quelli sul traffico. 77. Pertanto le politiche disicurezza definite dagli ISP dovrebbero includere clausole di salvaguardiaspecifiche per garantire che le misure adottate siano adeguate rispetto airischi; contemporaneamente, le autorità nazionali competenti che valutanoqueste misure devono essere particolarmente esigenti. Infine, occorreassicurare l'attuazione di procedure di notifica efficaci per informare gliinteressati le cui informazioni siano risultate compromesse e che pertantorischiano di subire ripercussioni negative.
VI. SUGGERIMENTIPER LE MISURE POLITICHE E LEGISLATIVE 78. Le tecnologie di controllo basatesui dati relativi al traffico e sull'ispezione dei payload IP, per esempio ilcontenuto delle comunicazioni, potrebbero fornire notizie sull'attività degliutenti in Internet: siti Internet visitati e operazioni effettuate su talisiti, utilizzo di applicazioni P2P, file scaricati, e-mail inviate e ricevute,il nome dei loro mittenti, l'oggetto e così via. È possibile che gli ISP voglianoservirsi di queste informazioni per dare la priorità ad alcuni tipi dicomunicazione, per esempio il video on demand, rispetto ad altri, e chevogliano utilizzarle per individuare virus o creare profili allo scopo dieffettuare pubblicità comportamentale. Queste azioni pregiudicano il dirittoalla riservatezza delle comunicazioni. 79. Le implicazioni per la vitaprivata aumentano in base alle tecnologie impiegate e alle circostanze delcaso. Più l'intercettazione e l'analisi delle informazioni raccolte si spingonoa fondo, maggiore è il conflitto con il principio della riservatezza dellecomunicazioni. Anche le finalità per cui si effettua il monitoraggio e leclausole di salvaguardia per la protezione dei dati applicate rappresentanoelementi chiave per stabilire il livello di interferenza nella vita privata enei dati delle persone fisiche. Il blocco e il monitoraggio per la lotta almalware, con rigide limitazioni alla conservazione e all'utilizzo dei datisoggetti a controllo, non si possono paragonare a situazioni in cui leinformazioni vengono registrate per la creazione di profili individuali a finidi pubblicità comportamentale. 80. In linea di principio, il GEPDritiene che il quadro europeo vigente in materia di protezione dei dati e dellavita privata, se correttamente interpretato, applicato e fatto rispettare, siaadatto a garantire che venga osservato il diritto alla riservatezza esoprattutto che non sia compromessa la protezione dei dati e della vita privatadelle persone fisiche (35 — gli ISP possono applicarepolitiche di gestione del traffico ai fini della sicurezza e della prestazionedel servizio, per esempio riducendo la congestione di rete, in base agliarticoli 4 e 6 della direttiva e- privacy, — per applicare politiche digestione del traffico che comportino il trattamento dei dati sul traffico e/osulla comunicazione con finalità diverse da quelle di cui sopra, gli ISP devonoavere un'altra base giuridica specifica e possibilmente il consenso degliutenti. Per esempio, è necessario il consenso informato degli utenti permonitorare e filtrare le comunicazioni di persone fisiche al fine di limitare(o permettere) l'accesso a determinati servizi e applicazioni come il P2P o ilVoIP, — il consenso deve esserelibero, esplicito e informato e manifestarsi mediante un atto affermativo.Questi requisiti evidenziano soprattutto la necessità di accrescere gli sforziper garantire che le persone vengano correttamente informate e in modo diretto,comprensibile e specifico affinché possano valutare gli effetti delle pratichee infine prendere una decisione informata. Considerata la complessità di questetecnologie, fornire informazioni preliminari valide agli utenti è uno deiprincipali presupposti per ottenere un consenso valido. Inoltre, non devonoesserci conseguenze negative (né l'addebito di costi finanziari) per gli utentiche non esprimono il loro consenso ad alcun tipo di monitoraggio, — il principio diproporzionalità svolge un ruolo cruciale quando gli ISP attuano politiche digestione del traffico, a prescindere dalla base giuridica e dalla finalità deltrattamento (effettuare il servizio, evitare la congestione od offrire abbonamentimirati con o senza accesso a determinati servizi e applicazioni). Questoprincipio limita la capacità degli ISP di monitorare il contenuto dellecomunicazioni personali trattando una quantità eccessiva di informazioni oaccumulando benefici a proprio esclusivo vantaggio. Ciò che gli ISP possonofare a livello logistico dipende dal livello di invasività delle tecnologie,dai risultati richiesti (per i quali possono accumulare benefici) e dalleclausole di salvaguardia specifiche applicate in materia di protezione dei datie della vita privata. Prima di sviluppare tecnologie di controllo, gli ISPdevono effettuare una valutazione per stabilire se queste tecnologie sianoconformi al principio di proporzionalità. 81. Se è vero che attualmente ilquadro giuridico prevede condizioni e clausole di salvaguardia in materia,occorre verificare con particolare attenzione che gli ISP soddisfinoeffettivamente i requisiti giuridici, che forniscano ai consumatori leinformazioni necessarie per operare scelte consapevoli e che rispettino ilprincipio di proporzionalità. A livello nazionale, le autorità competenti perqueste verifiche comprendono da una parte le autorità nazionali responsabilidelle telecomunicazioni e, dall'altra, le autorità nazionali garanti della protezionedei dati. A livello di Unione europea, invece, tra gli organi competenti figurail BEREC, ma anche il GEPD può svolgere un ruolo in tale contesto. 82. Data la relativa novitàrappresentata dal fatto di poter controllare molte comunicazioni in temporeale, oltre al monitoraggio dell'attuale livello di conformità, vi sono alcuniaspetti relativi all'applicazione del quadro, affrontati nel presente parere,che richiedono un'analisi ancora più approfondita e ulteriori chiarimenti. Ènecessario un orientamento relativo a diversi settori che riguardi, tra glialtri: — la determinazione dellepratiche di controllo lecite e finalizzate a garantire la fluidità del trafficoche non richiedano necessariamente il consenso degli utenti, per esempio lalotta allo spam. Oltre all'invasività del monitoraggio effettuato, ci sonoaltri aspetti da considerare, come ad esempio il livello di perturbazione deltraffico che si verificherebbe senza tale monitoraggio, — la determinazione delletecnologie di controllo impiegabili per scopi di sicurezza che non richiedanonecessariamente il consenso degli utenti, — la determinazione dei casi incui sia necessario il consenso delle persone fisiche, in particolare di tuttigli utenti interessati, e dei parametri tecnici ammissibili al fine digarantire che la tecnica di controllo non implichi un trattamento di datisproporzionato rispetto alle finalità da esso previste, — inoltre, nei tre casi appenaesposti, può essere necessario un orientamento sull'applicazione delle clausoledi salvaguardia necessarie per la protezione dei dati (limitazione dellefinalità, sicurezza e così via). 83. Poiché le competenze in questocampo sono tanto europee quanto nazionali, il GEPD ritiene che sia fondamentalecondividere opinioni ed esperienze per stabilire strategie armonizzate per lequestioni in esame. A tale scopo, il GEPD suggerisce di creare una piattaformao un gruppo di esperti costituito da rappresentanti di autorità nazionali diregolamentazione, del gruppo di lavoro «articolo 29», del GEPD e del BEREC. Ilprimo obiettivo di questa piattaforma dovrebbe essere lo sviluppo di unorientamento, almeno sui temi summenzionati, per garantire che le strategiestabilite siano solide, armonizzate e omogenee. Il GEPD invita la Commissione aorganizzare questa iniziativa. 84. Infine, sia le autorità nazionaliche le rispettive omologhe europee, tra cui il BEREC e la Commissione europea,devono prestare particolare attenzione agli sviluppi del mercato inquest'ambito. Dal punto di vista della protezione dei dati e della vitaprivata, sarebbe estremamente problematico uno scenario in cui gli ISP attuinoabitualmente politiche di gestione del traffico offrendo abbonamenti checomportano il filtraggio dell'accesso ai contenuti e alle applicazioni. Se ciòdovesse accadere, si dovrebbero adottare misure legislative per affrontare talesituazione.
VII. CONCLUSIONI 85. Il fatto che gli ISP faccianosempre più affidamento sulle tecnologie di monitoraggio e di controlloinfluisce sulla neutralità di Internet e sulla riservatezza dellecomunicazioni, sollevando gravi problemi relativi alla protezione dei datipersonali e della vita privata degli utenti. 86. Anche se la comunicazione dellaCommissione sull'apertura e la neutralità della rete Internet in Europa accennabrevemente a questi problemi, il GEPD ritiene che si debba fare di più perdeterminare una politica soddisfacente per il futuro e nel presente parere hapertanto contribuito al dibattito politico in corso sulla neutralità dellarete, soprattutto per quanto riguarda gli aspetti legati alla protezione deidati e della vita privata. 87. Il GEPD ritiene, inoltre,necessario che le autorità nazionali e il BEREC monitorino la situazione delmercato, in modo da tracciare un quadro esauriente per stabilire se il mercatosi stia evolvendo verso un controllo massiccio e in tempo reale dellecomunicazioni senza trascurare le questioni attinenti all'osservanza del quadrogiuridico. 88. Il monitoraggio del mercato deveincludere un'analisi approfondita degli effetti delle nuove pratiche sullaprotezione dei dati e della vita privata nella rete Internet. Il presenteparere menziona alcuni settori che trarrebbero vantaggio da un chiarimento. Sele agenzie europee e organi come il BEREC, il gruppo di lavoro «articolo 29» eil GEPD possono trovarsi in una buona posizione per chiarire le condizioni diapplicazione del quadro, lo stesso GEPD ritiene che la Commissione abbia ildovere di coordinare e guidare il dibattito e pertanto la esorta a prenderel'iniziativa coinvolgendo tutte le parti interessate in una piattaforma o in ungruppo di lavoro che abbia questo obiettivo. Fra i temi che devono essereulteriormente esaminati, sarà necessario affrontare i punti seguenti: — determinare le pratiche dicontrollo che sono lecite per garantire la fluidità del traffico e che possonoessere adottate a scopi di sicurezza, — determinare in quali casi ilmonitoraggio richieda il consenso delle persone fisiche, e in particolare ditutti gli utenti interessati, e quali parametri tecnici siano ammessi pergarantire che la tecnologia di ispezione non implichi un trattamento di datisproporzionato rispetto alle finalità previste, — nei casi summenzionati puòrendersi necessario un orientamento riguardante l'applicazione delle clausoledi salvaguardia necessarie in materia di protezione dei dati (limitazione dellefinalità, sicurezza e così via). 89. In base a queste conclusioni,possono risultare necessari provvedimenti legislativi supplementari. In talcaso, la Commissione dovrebbe proporre misure di carattere politico volte aconsolidare il quadro giuridico e a garantire la certezza del diritto. Le nuovemisure dovrebbero fare chiarezza sulle conseguenze pratiche del principio di neutralitàdella rete, poiché ciò è già stato fatto in alcuni Stati membri, e assicurareche gli utenti abbiano effettivamente la possibilità di scegliere, soprattuttoobbligando gli ISP a offrire connessioni non monitorate. Fatto a Bruxelles, il 7 ottobre 2011 Peter HUSTINX Garante europeo della protezione deidati
( ( ( ( ( ( ( ( ( ( (11) Sono escluseattività volte ad aumentare la sicurezza della rete e rilevare il trafficonocivo, nonché operazioni necessarie per la fatturazione e l'interconnessione.Per questo trattamento sono inoltre esclusi gli obblighi derivanti dalladirettiva sulla conservazione dei dati, ovvero la direttiva 2006/24/CE delParlamento europeo e del Consiglio, del 15 marzo 2006, riguardante laconservazione di dati generati o trattati nell'ambito della fornitura diservizi di comunicazione elettronica accessibili al pubblico o di retipubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105 del13.4.2006, pag. 54) («direttiva sulla conservazione dei dati»). (12) Direttiva2002/21/CE, del 7 marzo 2002, che istituisce un quadro normativo comune per lereti ed i servizi di comunicazione elettronica, modificata dalla direttiva2009/140/CE e dal regolamento (CE) n. 544/2009 (GU L 337 del 18.12.2009, pag.37). (13) Cfr. punto 3,lettera e), in cui il Consiglio riconosce la necessità di mantenere l'aperturadi Internet, assicurando nel contempo che possa continuare a fornire servizi dielevata qualità in un contesto che promuova e rispetti diritti fondamentaliquali la libertà di espressione e la libertà di esercitare un'attività, e punto8, lettera d), che invita gli Stati membri a promuovere, quale loro obiettivopolitico, l'apertura e la neutralità di Internet. ( ( ( ( (18) Cfr. punto 4,lettera e), in cui il Consiglio constata l'esistenza di alcune questioniriguardanti la protezione dei dati personali, sollevate principalmente daiconsumatori e dalle autorità garanti della protezione dei dati. (19) Come descrittopiù dettagliatamente nella sezione IV.2, questi protocolli (tra i quali HTTP,FTP e simili) codificano le informazioni trasmesse da punto a punto secondo unamodalità concordata affinché i dispositivi coinvolti nella comunicazionepossano comprendersi reciprocamente. ( ( ( ( (24) Ogniprotocollo ha nel proprio header alcuni campi specifici che fornisconoinformazioni aggiuntive di carattere informale sulla comunicazione in corso ditrasmissione. Pertanto i contenuti di questi campi possono essere definiti imetadati della comunicazione. Un esempio di questi campi è il numero di portausato: se è il numero 80, è molto probabile che il tipo di comunicazione siaweb browsing. (25) Naturalmentele possibilità di tracciamento non sono esclusive degli ISP. Anche i providerdi reti di inserzioni sono in grado, tramite l'impiego di cookie di terzi, ditracciare gli utenti dei siti. Cfr., per esempio, un recente articoloaccademico che dimostra la presenza di Google in 97 dei 100 principali sitiInternet: ciò significa che Google può tracciare gli utenti che non hannoselezionato l'opzione di opt out relativa ai cookie di terzi quando navigano suquesti siti popolari. Cfr.: Ayenson, Mika, Wambach, Dietrich James, Soltani,Ashkan, Good, Nathan e Hoofnagle, Chris Jay, Flash Cookies e Privacy II:attualmente con HTML5 e ETag Respawning (29 luglio 2011). Disponibile sul sitodi SSRN: (http://ssrn.com/abstract=1898390). Il tracciamento degli utentimediante i cookie di terzi è stato affrontato dal Gruppo di lavoro «articolo29». Cfr. parere 2/2010 sulla pubblicità comportamentale on line adottato il 22giugno 2010 (WP 171). ( ( ( ( ( (31) Un casoanalogo è stato riscontrato in merito alla registrazione dei nominativi deipasseggeri quando è stata dibattuta la validità o meno del consenso deipasseggeri a trasmettere i dati relativi alle prenotazioni alle autoritàstatunitensi. Il Gruppo di lavoro ha affermato che il consenso dei passeggerinon può essere fornito liberamente perché le compagnie aeree sono obbligate atrasmettere i dati prima della partenza del volo e i passeggeri non hannoquindi una reale possibilità di scelta se intendono viaggiare in aereo (parere6/2002 del Gruppo di lavoro «articolo 29» relativo alla trasmissione da partedelle compagnie aeree di informazioni sugli elenchi dei passeggeri e di altridati agli Stati Uniti). (32) Direttiva2009/136/CE, del 25 novembre 2009, recante modifica della direttiva 2002/22/CErelativa al servizio universale e ai diritti degli utenti in materia di reti edi servizi di comunicazione elettronica (cfr. nota 15). ( ( (
|