Parere 2/2008: sul riesame della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche del 15/5/2008

Parere 2/2008 - WP150
sul riesame della direttiva2002/58/CE relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche (direttiva relativa allavita privata e alle comunicazioni elettroniche) adottato il 15 maggio 2008

IL GRUPPO PER LA TUTELA DELLE PERSONE CONRIGUARDO AL

TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995¹,

visti gli articoli 29 e 30, paragrafi 1,lettera a), e 3 della richiamata direttiva e l’articolo 15, paragrafo 3, delladirettiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 giugno 2002,

visto l'articolo 255 del trattato e ilregolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamentoeuropeo, del Consiglio e della Commissione,

visto il proprio regolamento interno,

HA ADOTTATO IL PRESENTE DOCUMENTO:

1. CONTESTO

Il 13 novembre 2007 la Commissione ha adottatouna proposta di direttiva che modifica, tra l'altro, la direttiva 2002/58/CErelativa al trattamento dei dati personali e alla tutela della vita privata nelsettore delle comunicazioni elettroniche (qui di seguito "laproposta").

L'obiettivo principale della proposta èrafforzare la protezione dei dati personali e la tutela della vita privata deicittadini nel settore delle comunicazioni elettroniche, in particolareattraverso disposizioni di sicurezza più rigorose e migliori meccanismi dicontrollo.

Il Gruppo di lavoro articolo 29 desideracommentare la proposta ed esaminare alcune questioni supplementari.

2. OSSERVAZIONI SPECIFICHE

Notifica delle violazioni della sicurezza

Articolo 4

Il Gruppo di lavoro articolo 29 appoggiapienamente la proposta di rafforzare l'articolo 4 "Sicurezza" esigendo che i fornitori deiservizi di comunicazione accessibili al pubblico notifichino le violazionidella sicurezza, e sottolinea l'importanza di informare tutti gli interessatiquando la sicurezza dei loro dati personali risulta o rischia di esserecompromessa. Ritiene tuttavia che rimangano in sospeso alcune questioni:

a) l'esigenza di estendere aifornitori di servizi della società dell'informazione l'obbligo di notificare leviolazioni della sicurezza

Il Gruppo di lavoro articolo 29 approvasenza riserve il parere² del Garante europeo della protezione deidati (GEPD) secondo cui l'introduzione di un sistema di notifica delleviolazioni della sicurezza, quale descritto all'articolo 4, paragrafi 3 e 4,dovrebbe riguardare anche i fornitori di servizi della societàdell'informazione, come le banche online, le imprese attive on-line, ifornitori on-line di servizi nel settore sanitario, ecc. L'estensionedell'obbligo di notifica garantirebbe una maggiore assunzione di responsabilitàda parte dei servizi della società dell'informazione in generale econtribuirebbe a sensibilizzare gli utenti. In questo modo sarebbe certamentepossibile ridurre i rischi per la sicurezza.

b) i destinatari delle notifiche delleviolazioni della sicurezza

Il Gruppo di lavoro ritiene che ilconcetto di destinatari delle notifiche delle violazioni della sicurezzadovrebbe essere ampliato, in modo da includervi tutte le persone interessate enon soltanto gli "abbonati", sostituendo all'articolo 4 il termine "abbonati" con "interessati".

Il termine "interessati" comprenderebbe tutti coloro i cuidati sono stati compromessi violando la sicurezza (per esempio, abbonati, maanche ex-abbonati e alcuni terzi).

Questa modifica potrebbe risultare particolarmenteutile, per esempio, per coloro che hanno appena disdetto un abbonamento e chenon sono più "abbonati", ma i cui dati personali sono ancora inpossesso del responsabile del trattamento (nella fattispecie, il fornitore diun servizio pubblico di comunicazione elettronica). Un'altra situazioneipotetica in cui è evidente la necessità di ampliare il gruppo di destinataridell'obbligo di notifica è il caso dei fornitori di servizi pubblici dicomunicazione elettronica che conservano informazioni su una persona A, che nonè abbonata ai loro servizi. Questa circostanza può verificarsi sel'informazione è stata trasmessa da un abbonato del servizio che ha invitato Aad abbonarsi allo stesso servizio. A dovrebbe essere ovviamente avvertita se, acausa di una violazione della sicurezza, sono divulgate informazioni sul suoconto.

Ciò potrebbe rivelarsi utile anche quandole notifiche della violazione riguardano servizi della societàdell'informazione. Gli utenti possono infatti interagire con alcuni di questi servizisenza essere abbonati.

c) Divulgazione al pubblico

Il Gruppo di lavoro ritiene che indeterminate circostanze l'autorità nazionale di regolamentazione (ANR) dovrebbeessere autorizzata, nell'interesse generale, a informare gli utenti di unaviolazione o a esigere che siano le imprese interessate a farlo. L'ANR dovrebbevalutare se il caso debba essere reso pubblico, bilanciando gli interessi deifornitori e i diritti delle persone interessate.

Articolo 4, paragrafo 4

Conformemente all'articolo 4, paragrafo4, dopo aver consultato l'Autorità europea del mercato delle comunicazionielettroniche e il Garante europeo della protezione dei dati, la Commissione puòadottare misure tecniche di attuazione riguardanti, tra l'altro, lecircostanze, il formato e le procedure applicabili alle prescrizioni in materiadi informazioni e comunicazioni di cui al medesimo articolo.

a) La scelta della procedura di"comitatologia"

Il Gruppo di lavoro articolo 29 approval'impostazione della proposta che consiste nel risolvere molte importantiquestioni relative alla fornitura di informazioni agli utenti e alle autoritàincaricate della protezione dei dati con disposizioni di attuazione piuttostoche nel contesto della direttiva relativa alla vita privata e alle comunicazionielettroniche (anche direttiva e-privacy).

b) Necessità di consultare il Gruppodi lavoro articolo 29

Oltre all'Autorità europea del mercatodelle comunicazioni elettroniche e al Garante europeo della protezione dei datidovrebbe essere consultato anche il Gruppo di lavoro articolo 29, poiché ognimisura introdotta si ripercuoterà direttamente sulle informazioni da fornireagli interessati.

Concetto di "dati personali"

Il Gruppo di lavoro esprime soddisfazioneper la totale compatibilità della definizione e della portata del termine"dati personali"di cui alla proposta con la definizione corrispondente che figura nelladirettiva sulla protezione dei dati. Sottolinea inoltre che qualsiasiridimensionamento della definizione di "dati personali" nella direttiva e-privacycreerebbe un vuoto nella protezione degli utenti in un settore che è al centrodelle comunicazioni elettroniche, e di conseguenza anche della societàdell'informazione e dei servizi amministrativi on-line basati sui servizielettronici, fatto che sarebbe del tutto inaccettabile dal punto di vista dellaprotezione della vita privata.

Concetto di "rete di comunicazionepubblica" e di "servizi di comunicazione elettronica"

La direttiva e-privacy si applica allafornitura di servizi di comunicazione elettronica accessibili al pubblico sureti pubbliche. Molto spesso, però, il concetto di "reti dicomunicazione pubblica"e quello di "servizi di comunicazione elettronica" risultano poco chiari nellapratica. I servizi si trasformano sempre più in una combinazione di elementipubblici e privati ed è spesso difficile per i legislatori non meno che per glioperatori del settore determinare se la direttiva e-privacy si applichi in unadata circostanza. Per esempio, il collegamento Internet di 30.000 studenti è daconsiderarsi un sistema di comunicazione elettronica pubblico o privato? Cosadire poi se l'accesso è fornito da una multinazionale a 300.000 dipendenti? Oda un Internet café?

Il Gruppo di lavoro articolo 29 rinvia aisuoi precedenti pareri (WP 36³ e WP 126⁴) e chiede unavolta di più che siano chiarite le definizioni di "servizi dicomunicazione elettronica"e di "reti di comunicazione pubblica", perché occorre tenere conto dellosviluppo di reti ibride pubblico/privato.

Il Gruppo di lavoro articolo 29 invita laCommissione a consultarlo sulla questione con una comunicazione o un altrostrumento opportuno.

Autorità nazionali di regolamentazione(ANR)

Nella proposta i riferimenti all'autoritànazionale di regolamentazione sembrano indicare talvolta l'autorità nazionaledi garanzia per le telecomunicazioni, talvolta l'autorità garante dellaprotezione dei dati.

Il Gruppo di lavoro articolo 29suggerisce di introdurre una formulazione simile a quella dell'articolo 3,paragrafo 5, della direttiva quadro 2002/21/CE in modo da garantire unacooperazione efficace tra le autorità di regolamentazione nazionali e leautorità per la protezione dei dati.

L'articolo 15 bis, paragrafo 4 "Attuazionee controllo dell'attuazione" propone poi di consultare l'Autorità europea del mercatodelle comunicazioni elettroniche. Il Gruppo di lavoro articolo 29 insiste peressere consultato anch'esso e perché a tal fine sia inserito un riferimentoesplicito ad un processo di consultazione obbligatorio.

Infine, il Gruppo di lavoro ritienenecessario vigilare affinché il meccanismo di armonizzazione proposto nonimpedisca agli Stati membri di fissare requisiti supplementari in materia disicurezza per perseguire gli obiettivi definiti nella direttiva eprivacy.

Articolo 3

Il Gruppo di lavoro articolo 29 concordacon il richiamato parere del Garante europeo della protezione dei dati egiudica questa disposizione positiva perché precisa che un certo numero didispositivi RFID rientrano nell'ambito della direttiva e-privacy.

Articolo 13 - Comunicazioni indesiderate

Il Gruppo di lavoro articolo 29 osservala tendenza nella tecnologia delle comunicazioni ad allontanarsi dal modellotradizionale di abbonato⁵ e suggerisce che il termine "abbonato" sia sostituito da "utente" in tutto l'articolo 13, e che siaaggiunto un nuovo considerando per chiarire la relazione e il ruolo degliabbonati rispetto agli utenti.

La direttiva e-privacy modificatadovrebbe tutelare gli utenti di connessioni wireless a corto raggio dallecomunicazioni non desiderate, come previsto all'articolo 13.

Chiarimenti più dettagliati potrebberoessere inclusi in un nuovo considerando.

Articolo 13, paragrafo 1

Per tenere conto dei continui progressi esviluppi tecnologici, il paragrafo 1 non dovrebbe riferirsi ai "sistemiautomatizzati di chiamata",ma ai "sistemi automatizzati di chiamata e di comunicazione", così da mantenere un'impostazione neutrasul piano tecnologico, pur tenendo conto dei cambiamenti in corso.

Articolo 13, paragrafo 6

Nel nuovo articolo 13, paragrafo 6 laCommissione propone di confermare il diritto di ogni persona fisica o giuridicadi promuovere un'azione giudiziaria contro ogni violazione delle disposizioninazionali adottate ai sensi dell'articolo 13 della direttiva eprivacy.

Il Gruppo di lavoro raccomanda diestendere questo diritto all'articolo 5, paragrafo 3 della direttiva e-privacy,in modo che sia possibile promuovere un'azione giudiziaria anche in caso diviolazione delle disposizioni nazionali che vietano l'uso di spyware.

3. ALTRI FATTORI DA CONSIDERARE

a) Il principio della "privacy bydesign"

Il Gruppo di lavoro articolo 29 sipronuncia a favore dell'applicazione del principio di minimizzazione dei dati esviluppo di tecnologie di rafforzamento della tutela della vita privata6 daparte dei responsabili del trattamento dei dati.

Il Gruppo di lavoro chiede ai legislatorieuropei di rafforzare questo principio, riprendendo i considerandi 9 e 30 delladirettiva e-privacy in un nuovo paragrafo da inserire all'articolo 1 delladirettiva.

b) Indirizzi IP

Il Gruppo di lavoro articolo 29 constatache, nel contesto del dibattito sulla direttiva eprivacy, ci si è chiesti segli indirizzi IP debbano essere considerati dati personali e ribadisce chenella maggior parte dei casi, anche quando sono allocati indirizzi IP dinamici,con i dati a disposizione è possibile risalire all'identità dell'utente.

Nel WP 136⁷ il Gruppo dilavoro ha osservato che "…, a meno di poter distinguere con assolutacertezza che i dati corrispondano a utenti non identificabili, il fornitore diservizi Internet dovrà trattare tutte le informazioni IP come dati personali,per maggiore sicurezza".Queste considerazioni si applicano anche agli operatori dei motori di ricerca(WP 148)⁸.

c) Articolo 5, paragrafo 1

Il Gruppo di lavoro articolo 29 ribadisceche questo articolo prevede l'obbligo di garantire la riservatezza dellecomunicazioni a prescindere dalla natura della rete e dal fatto che ildestinatario della comunicazione si trovi in un paese terzo. 6 COM(2007) 228definitivo.

I fornitori di servizi di comunicazioneelettronica dovrebbero prendere misure rigorose per cercare di offrire unaprotezione più adeguata a tutti coloro che effettuano una comunicazioneelettronica con interlocutori in paesi terzi. Il riesame della direttiva eprivacyè la sede opportuna per affermare i diritti civili in questo settore, inparticolare per assicurare la trasparenza dei meccanismi usati per latrasmissione delle comunicazioni.

4. OSSERVAZIONI FINALI, CONCLUSIONE

Il Gruppo di lavoro articolo 29 chiede ailegislatori europei di prendere in esame le questioni evidenziate nel presenteparere.

Fatto a Bruxelles, il 15 maggio 2008

Per il Gruppo di lavoro

Il Presidente

Alex Türk

NOTE
1 Gazzetta ufficiale L 281 del 23.11.1995, pag. 31,

http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm

2 http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/

2008/08-04-10_e-privacy_EN.pdf

3 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2000/wp36en.pdf

4 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp126_en.pdf

5 Per esempio, per l'usocrescente di tecnologie come Bluetooth che permettono una certa forma di

pubblicità che èdiventata intrusiva quanto gli spam, anche se la base tecnologica è diversa.

7 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_en.pdf

8 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_en.pdf