CE - GRUPPO DI LAVORO PER LA TUTELA DEI DATI PERSONALI

Approvato il 13 luglio 2000

1. INTRODUZIONE

Nel quadro del processo di liberalizzazione del settore europeo delle telecomunicazioni, nuove società offrono servizi in precedenza forniti solo dai tradizionali operatori delle telecomunicazioni. Per tale motivo, sempre più di frequente, vengono resi disponibili nuovi prodotti, tra i quali elenchi telefonici in formato elettronico. Tali elenchi, contenenti nome, indirizzo e numero telefonico di milioni di cittadini europei dei vari Stati membri, vengono commercializzati in numerosi paesi europei e riportano informazioni sui cittadini del paese nel quale ha sede il servizio o la società e su quelli di altri paesi dell'UE. I supporti più utilizzati per la distribuzione di tali prodotti sono i CD-ROM e i siti Web su Internet.

Una delle principali innovazioni introdotte dalla pubblicazione elettronica è la possibilità di offrire in modo semplice ed economico funzioni avanzate per il trattamento delle informazioni presenti negli elenchi telefonici. Tali funzioni si riferiscono principalmente alla possibilità di utilizzare criteri di ricerca avanzati per rivelare informazioni presenti nell'elenco stesso.

In effetti, tali prodotti offrono in genere servizi di ricerca derivata o a criteri multipli. Oltre ai tradizionali metodi di ricerca che consentono di trovare il numero telefonico di un dato abbonato a partire dal suo nome, i nuovi servizi permettono di accedere, mediante metodi di ricerca multipla, ai dati personali di un determinato abbonato o addirittura di un gruppo di abbonati i cui dati personali corrispondono ai criteri di ricerca.

Quale esempio delle funzioni di questi nuovi tipi di ricerca, vanno ricordate la possibilità di risalire al nome e all'indirizzo di un abbonato telefonico indicandone il numero di telefono e quella di effettuare una ricerca basata sull'indirizzo, tramite la quale è possibile reperire il nome e il numero telefonico degli abbonati partendo dal loro indirizzo. Sarebbe tecnicamente possibile ottenere persino il nome e il numero telefonico di tutti gli abbonati che abitano in una data zona (ad esempio, una strada).

Questa nuova funzione potrebbe comportare un radicale cambiamento nelle prospettive di privacy dei cittadini in relazione ai dati personali conservati negli elenchi pubblici. In realtà, prima dell'esistenza di questi nuovi prodotti, quando una persona comunicava il proprio numero di telefono a un terzo, ciò non implicava, in circostanze normali, la possibilità di ottenere ulteriori informazioni da quel dato; ora, tuttavia, grazie alla presenza sul mercato di tali prodotti, la situazione è mutata radicalmente: la semplice rivelazione, intenzionale o casuale, di un numero telefonico potrebbe costituire la chiave per accedere ad un numero di informazioni pari in genere a quello che compare su un biglietto da visita, compreso il nome, l'indirizzo e, in taluni casi, la professione e l'impiego.

Inoltre, la semplice conoscenza della bolletta telefonica dettagliata di un cittadino, nella quale sono riportati i soli numeri chiamati, consentirebbe di ottenere un elenco dei nomi e degli indirizzi delle persone da lui chiamate durante un determinato lasso di tempo.

È necessario altresì tenere in considerazione un'altra categoria di prodotti contenenti informazioni geografiche, quali piante di città, e banche dati che comprendono le fotografie di tutte le abitazioni di una città. Tali informazioni possono essere collegate con semplicità all'indirizzo che compare in un elenco telefonico che consente le ricerche a criteri multipli. Enormi possibilità si aprono poi combinando tali informazioni con quelle provenienti da altre fonti, quali i registri di dominio pubblico. La quantità di informazioni ottenibili per il semplice fatto di disporre di un numero telefonico va, pertanto, ben oltre quanto un cittadino medio può ragionevolmente aspettarsi.¹

2. ANALISI GIURIDICA

La direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni² recita al considerando 21 che "(...)gli elenchi sono ampiamente distribuiti e disponibili al pubblico; che il diritto al rispetto della vita privata delle persone fisiche e i legittimi interessi delle persone giuridiche richiedono che gli abbonati possano determinare in quale misura i loro dati personali debbano essere pubblicati nei medesimi elenchi; che gli Stati membri possono riconoscere questa possibilità ai soli abbonati che sono persone fisiche". D'altronde, l'articolo 11 sancisce il principio che i dati personali raccolti negli elenchi telefonici debbano limitarsi "(...) agli elementi necessari per identificare un abbonato, salvo nel caso in cui l'abbonato abbia inequivocabilmente consentito alla pubblicazione di dati personali supplementari".

A parte quanto esposto in precedenza, l'articolo 11 sancisce inoltre che l'abbonato "(...) ha il diritto, gratuitamente, di non essere incluso in un elenco stampato o elettronico, di indicare che i suoi dati personali non possono essere utilizzati a fini di invio di materiale pubblicitario, di ottenere che il suo indirizzo sia in parte omesso e, se ciò è fattibile dal punto di vista linguistico, di non essere contraddistinto da un riferimento che ne riveli il sesso".

Inoltre, la direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali³, all'articolo 6, paragrafo 1, lettera b), sancisce che i dati personali devono essere "rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità".

In tal senso, lo scopo degli elenchi telefonici convenzionali è quello di rivelare il numero telefonico di un abbonato a partire dalla conoscenza del nome dell'abbonato (l'indirizzo è necessario solo in caso di omonimia) e l'uso di tali dati personali è circoscritto a quello scopo specifico. Pertanto, l'utilizzo di questi elenchi per reperire dati personali relativi a una persona fisica a partire da un determinato numero telefonico del quale si ignora l'abbonato oppure i nomi e i numeri telefonici delle persone che abitano in una determinata zona rappresenta un uso completamente diverso da quello che un consumatore può ragionevolmente attendersi per il fatto di essere stato inserito nell'elenco. Si tratta, pertanto, di una nuova finalità che non è compatibile con quella iniziale (cfr. l'articolo 6, paragrafo 1, lettera b) della direttiva 95/46/CE)⁴.

Le ricerche derivate possono, tuttavia, rivelarsi di grande utilità e non dovrebbero essere proibite in quanto tali. Allo scopo di rendere tale elaborazione equa e legale è necessario rispettare le condizioni della direttiva.

Poiché l'utilizzo dei dati personali inseriti negli elenchi pubblici per servizi di ricerca derivata o a criteri multipli è una finalità di recente introduzione, i responsabili del trattamento dei dati sono tenuti ad informarne le persone interessate (articoli 10 e 11 della direttiva 95/46/CE).

Inoltre, per essere legittimo tale trattamento deve rispettare anche uno dei criteri previsti all'articolo 7 della direttiva 95/46/CE. In base all'articolo 7, lettera f), il trattamento può essere legittimo se è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure dei terzi e a condizione che non prevalgano gli interessi della persona alla tutela dei propri diritti fondamentali.

Al fine di garantire l'equilibrio tra gli interessi, sono stati individuati e valutati gli interessi ed i rischi per la privacy in gioco. In tal senso, la direttiva 97/66/CE offre indicazioni utili: è possibile inserire in elenchi pubblici convenzionali le informazioni minime necessarie per identificare un abbonato, a meno che l'abbonato non si opponga alla pubblicazione di tali informazioni. Tuttavia, è richiesto il consenso dell'abbonato quando si tratta di informazioni aggiuntive o di funzioni complementari dell'elenco pubblico. Per quanto riguarda l'utilizzo degli elenchi pubblici per ricerche derivate o a criteri multipli, la situazione è analoga e, anzi, tale trattamento potrebbe configurare anche un'indebita violazione della privacy. È necessario considerare che gli interessi alla tutela dell'abbonato prevalgono sugli interessi del responsabile del trattamento o dei terzi. Di conseguenza, tale trattamento è legittimo solo se l'interessato ha dato il proprio consenso informato prima dell'inserimento dei suoi dati personali in elenchi pubblici con funzioni di ricerca derivata o a criteri multipli (articolo 7, lettera a) e articolo 2, lettera h) della direttiva 95/46/CE).

In pratica, ciò significa che:

• è necessario ottenere il consenso specifico e informato dell'abbonato prima dell'inserimento dei dati personali che lo riguardano in elenchi pubblici di ogni tipo (telefonia tradizionale e mobile, posta elettronica, firme elettroniche, ecc.) utilizzati per ricerche derivate o a criteri multipli;

• in particolare, il responsabile del trattamento deve informare l'abbonato

  - circa l'utilizzo dei dati personali negli elenchi alfabetici,

  - se, e in quale misura, si intende utilizzare i dati personali dell'abbonato in servizi di ricerca derivata o a criteri multipli (quale tipo di ricerca a criteri multipli è consentito),

  - del suo diritto di modificare, in qualsiasi momento e senza alcun onere, la sua decisione di consentire ciascun tipo specifico di trattamento dei dati.

• Il responsabile del trattamento deve inoltre attuare misure tecniche ed organizzative appropriate ai rischi che il trattamento comporta e alla natura dei dati tutelati (cfr. articolo 17 della direttiva 95/46/CE). Ciò significa, ad esempio, che il database dovrà essere progettato al fine di impedirne, per quanto possibile, usi fraudolenti, quali modifiche illecite dei criteri di ricerca oppure la copia o l'accesso all'intero database per ulteriori elaborazioni. I criteri di ricerca, ad esempio, dovranno essere abbastanza precisi da consentire solo la visualizzazione di un numero limitato di risultati per pagina. Il risultato dovrà essere quello di garantire, anche con mezzi tecnici, le finalità di ricerca alle quali l'abbonato ha dato il proprio consenso.

Tali condizioni non si applicano solo agli operatori delle telecomunicazioni, ma anche ad altre parti, quali i redattori, e pertanto a tutti coloro che desiderano utilizzare dati personali al fine di offrire elenchi o servizi di ricerca a criteri multipli⁵.

CONCLUSIONI

Viste le considerazioni esposte in precedenza e considerato il quadro giuridico creato dalla direttiva 97/66/CE e dalla direttiva 95/46/CE, il gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali è del parere che il trattamento dei dati personali all'interno di elenchi derivati o nell'ambito di servizi di ricerca a criteri multipli senza il consenso informato ed inequivocabile dell'abbonato sia iniquo ed illegittimo. Per rendere legittimo tale trattamento è necessario rispettare le condizioni esposte in precedenza.

Il gruppo di lavoro accoglie con favore ed appoggia pienamente la proposta della Commissione europea per un progetto di direttiva riguardante il trattamento dei dati personali e la tutela della privacy nel settore delle comunicazioni elettroniche⁶ che prende in considerazione le varie possibilità di utilizzo, in particolare, degli elenchi elettronici pubblici (quali le funzioni di ricerca derivata). Il progetto di direttiva prevede che l'abbonato dia il proprio consenso informato all'inserimento dei suoi dati personali in un elenco pubblico, per finalità ed entro limiti determinati. La proposta della Commissione adatta pertanto le norme alla realtà considerando il fatto che per i nuovi servizi elettronici di comunicazione, quali GSM e posta elettronica, la maggioranza degli abbonati non desidera rendere pubblico il proprio numero di cellulare e il proprio indirizzo di posta elettronica e la maggior parte dei fornitori del servizio ha in pratica rispettato i desideri dei propri abbonati per evidenti ragioni commerciali.

Il gruppo di lavoro apporterà ulteriori contributi alla discussione su tutte le questioni riguardanti tale progetto di direttiva⁷.

Per il gruppo di lavoro
Il presidente
Stefano RODOTÀ

1 I rappresentanti delle autorità per la tutela dei dati personali di Austria, Danimarca e Portogallo hanno espresso il parere che nei loro paesi le pratiche di ricerche derivate non abbiano comportato, a tutt'oggi, l'insorgere di problemi specifici. Il rappresentante danese si è astenuto dal voto.

2 Direttiva 97/66/CE del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni; GU L 24 del 30 gennaio 1998, p. 1. Disponibile all'indirizzo: http://158.169.50.95:10080/legal/en/dataprot/protection.html

Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; GU L 281 del 23 novembre 1995, p. 31. Disponibile all'indirizzo: http://www.europa.eu.int/comm/internal_market/en/media/dataprot/law/index.htm

4 Seguendo la stessa linea, il gruppo di lavoro internazionale sulla tutela dei dati nel settore delle telecomunicazioni (Gruppo di Berlino) ha approvato, nel corso della sua ventitreesima riunione, una posizione comune sugli elenchi derivati⁴ che recita che "l'esistenza degli elenchi derivati, senza regole specifiche per la tutela, può minacciare gravemente la privacy". La posizione comune sottolinea, inoltre, che la finalità di un elenco derivato "(...) non è identica a quella di un elenco telefonico; un elenco telefonico consente di ottenere il numero telefonico di una persona nota, a partire dal suo nome e da un criterio geografico, mentre la finalità di un elenco derivato è quella di ricercare l'identità e l'indirizzo di abbonati dei quali si conosce esclusivamente il numero telefonico". Analogamente, il gruppo di Berlino afferma che l'attuazione di una ricerca derivata in un elenco telefonico senza il consenso della persona interessata "(...) costituisce una raccolta di informazioni illegittima".

Un parere ancora più dettagliato in questo senso è stato approvato dalla commissione belga per la tutela dei dati nel giugno 1999 (Commission de la protection de la vie privée, recommandation n. 01/1999 du 23 juin 1999, disponibile all'indirizzo: http://www.privacy.fgov.be).

5 Vedere la definizione di "responsabile del trattamento" all'articolo 2, lettera d) della direttiva 95/46/CE.

6 Cfr. COM xxx (adottata il 12 luglio 2000).

7 Cfr. il parere xxx sul riesame della direttiva 97/66/CE, approvato il xxx).