IL GRUPPO PER LA TUTELA DELLE PERSONECON RIGUARDO AL

TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995¹,

visti l’articolo 29 e l’articolo 30,paragrafo 1, lettera a), e paragrafo 3, della succitata direttiva e l’articolo15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e delConsiglio del 12 giugno 2002,

visto l’articolo 255 del trattato CE e ilregolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo,del Consiglio e della Commissione,

visto il proprio regolamento interno,

HA ADOTTATO IL SEGUENTE DOCUMENTO:

1. CONTESTO

Il 13 novembre 2007, la Commissione haadottato una proposta di direttiva (“la proposta”) recante modifica delladirettiva 2002/58/CE (“direttiva relativa alla vita privata e allecomunicazioni elettroniche”) relativa al trattamento dei dati personali e allatutela della vita privata nel settore delle comunicazioni elettroniche e delladirettiva 2002/21/CE (direttiva quadro).

Il 24 settembre 2008, il Parlamentoeuropeo adottava emendamenti alla proposta in prima lettura (“emendamenti delParlamento”), commentati il 6 novembre 2008 dalla Commissione europea neldocumento COM(2008)723 def. (“commenti della Commissione”).

Successivamente, il 27 novembre 2008, unaccordo politico veniva raggiunto in seno al Consiglio dell’Unione europea(“accordo del Consiglio”).

Il gruppo dell’articolo 29 intendeesprimere un parere sugli emendamenti del Parlamento, sui commenti dellaCommissione e sull’accordo del Consiglio.

Il gruppo ricorda i due pareri giàadottati sulla revisione del quadro normativo per le reti e i servizi dicomunicazione elettronica (parere 8/2006 del 26 settembre 2006² eparere 2/2008 del 15 maggio 2008³).

Per quanto si compiaccia che siano stateprese in considerazione alcune raccomandazioni precedentemente espresse, ilgruppo desidera sottolineare alcune preoccupazioni di base in merito allequestioni sorte dopo la prima lettura al Parlamento europeo e al Consiglio; atal fine, il gruppo non intende ripetere tutti i punti sollevati nei precedentipareri, che rimangono a tutt’oggi validi.

2. NOTIFICA DELLE VIOLAZIONI DEI DATI PERSONALI

2.1. Osservazioni

Il gruppo sostiene in pieno la propostadi rendere più vincolante l’articolo 4 della direttiva relativa alla vitaprivata e alle comunicazioni elettroniche ponendo l’obbligo per i fornitori diservizi di comunicazione elettronica accessibili al pubblico di notificare leviolazioni della sicurezza. Le notifiche a tal fine possono rivelarsi unprezioso strumento affinché le autorità garanti della protezione dei datipossano vegliare con maggiore incisività ed efficacia al rispetto dell’obbligoincombente ai fornitori di servizi di adottare provvedimenti adeguati a tuteladella sicurezza.

In termini generali, il gruppo raccomandadi affrontare il problema della notifica delle violazioni di sicurezza dei datipersonali secondo il seguente approccio:

- la competente autorità nazionale diregolamentazione viene informata ogni qualvolta sussista il rischio di effettinegativi⁴ per la vita privata e la protezione dei dati personali;

- è capitale che i fornitori di serviziinformino immediatamente gli utenti interessati ogni qualvolta si verifichinoviolazioni della sicurezza in grado di produrre effetti negativi⁵ sullavita privata e sui dati a carattere personale, indipendentemente dallapossibilità per la competente autorità nazionale di regolamentazione didivulgare informazioni in merito alla violazione o di obbligare il fornitore diservizi ad agire in tal senso;

- è opportuno che ciascun fornitore diservizi conservi registrazioni⁶ di tutte le violazioni di datipersonali.

Il gruppo constata inoltre che le tre proposte(del Parlamento, della Commissione e del Consiglio) affrontano il problemadella violazione della sicurezza e dei dati personali secondo tre approccisostanzialmente diversi, soprattutto sotto i seguenti aspetti:

- la portata dell’obbligo (estesa aiservizi della società dell’informazione secondo gli emendamenti del Parlamento,limitata ai fornitori di servizi di comunicazione elettronica accessibili alpubblico secondo il Consiglio e la Commissione); il gruppo è decisamentefavorevole ad estendere la portata dell’obbligo ai servizi della societàdell’informazione;

- l’organismo cui spetta decidere inmerito alla notifica agli interessati (l’autorità compente per il Parlamento ela Commissione, il fornitore di servizi per il Consiglio);

- la tipologia di violazioni danotificare (tutte le violazioni secondo la proposta del Parlamento e i commentidella Commissione, solo le violazioni gravi secondo l’accordo del Consiglio);

- le persone cui notificare la violazione(abbonati o individui per il Parlamento e la Commissione, solo gli abbonati peril Consiglio).

Portata della notifica: servizi della societàdell’informazione

Il gruppo esprime deciso sostegno agliemendamenti 187/rev e 184 adottati dal Parlamento. È’ necessario estenderel’obbligo di notifica delle violazioni dei dati personali ai servizi dellasocietà dell’informazione considerato il ruolo sempre più centrale che essirivestono nella vita dei cittadini europei eddella mole crescente di dati personali elaborati dai suddetti servizi. Leoperazioni online quali l’accesso ai servizi di e-banking, le cartelle clinichedel settore privato e gli acquisti via internet non sono che qualche esempiodei servizi esposti a violazioni dei dati personali in grado di occasionareserie ripercussioni per un numero elevato di cittadini europei. Un obbligo dinotifica imposto unicamente ai servizi di comunicazione elettronica accessibilial pubblico produrrebbe effetti limitati ad un numero molto esiguo diinteressati rendendo pertanto la notifica della violazione dei dati personaliuno strumento molto meno incisivo al fine di tutelare le persone contro rischiquali il furto di identità, la perdita finanziaria o le mancate opportunitàeconomiche o occupazionali.

Il gruppo esprime pertanto profondorammarico che la proposta non sia stata accolta dalla Commissione e dalConsiglio e ricorda che alcune disposizioni della direttiva relativa alla vitaprivata e alle comunicazioni elettroniche trovano già applicazione al di làdell’ambito ristretto dei servizi di comunicazione elettronica⁷.

Responsabilità e criteri dellanotifica

La responsabilità di valutare i rischiconnessi alle violazioni dei dati personali dovrebbe incombere ai fornitori diservizi interessati, essendo questi nella migliore posizione per stabilire quantoprima se, in base alle regole di valutazione stabilite dalle autorità, occorreinformare le persone interessate. Indipendentemente dall’obbligo dinotificare alla competente autorità nazionale di regolamentazione tutte leviolazioni in cui sussiste il rischio di effetti negativi, i fornitori diservizi dovrebbero stabilire se è necessaria una notifica agli abbonati o asingoli individui. Onde garantire che vengano diffuse al pubblico informazioniaccurate e pertinenti, le competenti autorità nazionali di regolamentazionepossono decidere, ogni qualvolta lo ritengano necessario, di rendere pubblicala violazione e costringere il fornitore di servizi a divulgare informazionisulla violazione.

Dal momento che sarà il fornitore diservizi ad effettuare la notifica, è essenziale che la direttiva contemplimeccanismi a garanzia che le violazioni non vengano occultate, che la valutazione della violazioniavvenga in modo corretto e che le persone interessate ricevano una notifica neicasi previsti.

Questa possibile estensione oltrel’ambito ristretto dei servizi di comunicazione elettronica accessibili alpubblico è anche prevista in altre circostanze, dal momento che la Commissioneha proposto di estendere il campo d’applicazione dell’articolo 5, paragrafo 3,ai casi in cui i cookies e lo spyware vengono forniti tramite supporti qualiCD-ROM o chiavi USB, che non sono servizi di comunicazione elettronicaaccessibili al pubblico.

Ricevendo notifiche in un numeroelevato di casi, le autorità saranno nella posizione di supervisionare ilprocesso di notifica alle persone interessate da parte dei fornitori diservizi. Occorre armonizzare il formato dellanotifica a livello europeo definendo inoltre criteri chiari e obiettivi cheaiutino a valutare le conseguenze degli effetti negativi indotti dallaviolazione. La competente autorità nazionale di regolamentazione dovrebbeinoltre controllare se il fornitore di servizi ha effettuato correttamente lavalutazione della violazione e ha eventualmente adottato misure adeguate afronte della violazione dei dati personali. Infine, per evitarel’occultamento delle violazioni, è fondamentale che la direttiva investa lacompetente autorità nazionale di regolamentazione del potere di comminaresanzioni pecuniarie⁸nei casi in cui il fornitore di servizi omette di riferire o riferisce in modoincorretto le violazioni di dati personali alle persone interessate e/oall’autorità stessa.

Tipologie di violazioni da notificarealle persone interessate: ilconcetto di effetti negativi

Il gruppo si compiace per l’introduzione,all’articolo 2⁹, di una nuova definizione di “violazione dei datipersonali”, proposta nei commenti della Commissione¹⁰. Il gruppoconstata tuttavia che le tre proposte ricorrono ad una diversa formulazione perindicare le circostanze in cui le violazioni vanno notificate alle personeinteressate. Il gruppo raccomanda pertanto che le persone interessatericevano notifica delle violazioni di sicurezza tali da occasionare effettinegativi per la vita privata e la tutela dei dati personali. Il considerando 29 dell’accordo del Consiglio fornisceesempi utili a tal fine.

Le persone cui notificare laviolazione

Il gruppo esprime compiacimento per iriferimenti a “abbonato o singolo”, a “utenti interessati” e a “autoritànazionale competente” inseriti nel considerando 29 degli emendamenti delParlamento¹¹. L’accordo del Consiglio limita le notifiche agli“abbonati” e quindi alcune violazioni dei dati personali descritte nel parere2/2008 non saranno notificate agli interessati.

2.2. Esenzioni dalla notifica

Il gruppo riconosce la necessità, inoccasione di notifiche di violazioni, di fornire informazioni sulle circostanzedella violazione, in particolare se i dati a carattere personale fosseroprotetti o meno mediante cifratura; si tratta di informazioni essenzialiaffinché, in relazione ad una violazione, la competente autorità nazionale diregolamentazione possa individuare gli interventi adeguati da approntareeventualmente con il fornitore di servizi.

Il gruppo non è tuttavia d’accordo adesentare da notifica¹²quelle violazioni in cui i fornitori di servizi hanno approntato “le opportunemisure di protezione tecnologica e che tali misure erano state applicate aidati interessati dalla violazione della sicurezza”.

Si tratta di una disposizionedestinata a ridurre in modo significativo la qualità e l’utilità delleinformazioni fornite alle persone interessate. Solo se debitamente informati, gli utenti interessatipotranno essere in grado di adottare provvedimenti adeguati per ridurre irischi cui sono esposti. Il gruppo sottolinea pertanto l’importanza delformato della notifica e della valutazione del rischio ai fini di decidere seinformare o meno le persone interessate, indipendentemente dalle misuretecniche realmente adottate a protezione dei loro dati personali.

3. DATI SUL TRAFFICO

3.1. Trattamento dei dati sul trafficoa fini di sicurezza

Nel nuovo articolo 6, paragrafo 6,lettera a), il Parlamento, il Consiglio e la Commissione propongono di inserirenella direttiva relativa alla vita privata e alle comunicazioni elettronicheuna nuova esenzione riguardante il trattamento dei dati sul traffico per motividi sicurezza.

Il gruppo è al corrente che le soluzionicui i “fornitori di servizi di sicurezza” ricorrono¹³ a tutela dellasicurezza (quali programmi antivirus e antispam, firewall o sistemi dirilevazione intrusioni) possono richiedere il trattamento dei dati sul trafficofinalizzato a garantire la sicurezza dei dati personali degli utenti e atutelare il servizio stesso. Ciononostante il gruppo nutre apprensioni chel’attuale formulazione possa rendere legittimo un uso esteso di dispositivi difiltraggio DPI¹⁴, sia in rete che nell’apparecchiatura dell’utentecome le scatole ADSL, laddove l’attuale quadro normativo distingue già i casiin cui è consentito il trattamento dei dati sul traffico per motivi disicurezza.

La base giuridica che consente iltrattamento dei dati sul traffico da parte dei fornitori di servizi dicomunicazione elettronica accessibili al pubblico e il trattamento dei datipersonali da parte del responsabile del trattamento è in effetti costituitadall’articolo 6 della direttiva relativa alla vita privata e alle comunicazionielettroniche e dagli articoli 7 e 17 della direttiva sulla tutela dei dati. Inforza dell’articolo 7, lettera f), della direttiva sulla tutela dei dati, iltrattamento di dati personali può essere effettuato qualora necessario per ilperseguimento dell’interesse legittimo del responsabile del trattamento e acondizione che prevalgano l’interesse o i diritti e le libertà fondamentalidella persona interessata. L’articolo 17 della suddetta direttiva pone inoltrel’obbligo per il responsabile del trattamento di “attuare misure tecniche edorganizzative appropriate al fine di garantire la protezione dei dati personalidalla distruzione accidentale o illecita, dalla perdita accidentale odall’alterazione, dalla diffusione o dall’accesso non autorizzati [...] o daqualsiasi altra forma illecita di trattamento di dati personali”. Le misure adottate devono esserealtresì proporzionate ai rischi presentati dal trattamento e alla natura deidati da proteggere.

Sottolineando che i commenti dellaCommissione chiariscono la portata dell’emendamento 180 del Parlamento, ilgruppo constata che la formulazione proposta dalla Commissione stabilisce al dilà di ogni ragionevole dubbio che il trattamento dei dati è di pertinenza delladirettiva sulla tutela dei dati. Pertanto,ogni qualvolta risulti necessario, i fornitori di servizi di sicurezzainvieranno una notifica alle autorità nazionali garanti della protezione deidati e assicureranno l’esercizio dei diritti degli interessati.

Il gruppo ricorda infine che iltrattamento dei dati sul traffico a fini di sicurezza è già effettuato negliStati membri che hanno adottato misure ai sensi dell’articolo 15, paragrafo 1,della direttiva relativa alla vita privata e alle comunicazioni elettronicheche autorizza l’adozione di disposizioni legislative in deroga al principiodell’anonimità o della cancellazione di dati sul traffico¹⁵ non piùnecessari ai fini della trasmissione di una comunicazione, onde prevenire unuso non autorizzato del sistema di comunicazione elettronica.

Alla luce dei motivi su esposti, laproposta di un nuovo articolo 6, paragrafo 6, lettera a), non risultanecessaria.

4. INDIRIZZI IP

Il Parlamento e la Commissione propongonodi introdurre un nuovo considerando (27 bis) sugli indirizzi IP¹⁶.

Il gruppo, pur compiacendosi per laformulazione proposta nei commenti della Commissione che fa specificatamenteriferimento al suo operato, non sottoscrive tuttavia la proposta di inserire unriferimento esplicito alla presente questione in una direttiva. In tal senso,il gruppo ribadisce quanto osservato nel precedente parere¹⁷ che “…, a meno di poter distinguerecon assoluta certezza che i dati corrispondano a utenti non identificabili, ilfornitore di servizi Internet dovrà trattare tutte le informazioni IP come datipersonali, per maggiore sicurezza”.

Gli indirizzi IP riguardano nella maggiorparte dei casi persone identificabili.

L’identificazione può avvenire tantotramite il fornitore di accesso che in altri modi, ad esempio sfruttando altriidentificatori quali i cookies oppure l’interazine con servizi internet cherichiedono l’identificazione esplicita o implicita dell’interessato.

Il considerando 26 della direttiva sullatutela dei dati specifica esplicitamente che, per determinare se una persona èidentificabile, “è opportuno prendere in considerazione l’insieme dei mezziche possono essere ragionevolmente utilizzati dal responsabile del trattamentoo da altri per identificare detta persona”.

La definizione di dati personali fornitadella succitata direttiva fa riferimento ad informazioni “concernenti” unapersona e gli indirizzi IP sono comunemente utilizzati per distinguere trautenti cui va riservato diverso trattamento, ad esempio nella trasmissione dimessaggi pubblicitari mirati o nella creazione di profili.

Il gruppo è disposto ad assistere laCommissione nell’intraprendere il lavoro suggerito dal Parlamento europeo sugliindirizzi IP¹⁸, anche se, con la Commissione, non trovaparticolarmente opportuno trattare la questione in una disposizione sostanzialedi una direttiva, come trova inopportuno l’obbligo di presentare una relazione“per fini non previsti dalla presente direttiva”.

5. INFORMAZIONI ALLE AUTORITÀ GARANTI DELLA PROTEZIONE DEI DATI

Il Parlamento ha adottato in primalettura l’emendamento 136 riguardante l’articolo 15 della direttiva relativaalla vita privata e alle comunicazioni elettroniche, successivamente modificatodai commenti della Commissione. La proposta imporrebbe un obbligo a tutti ifornitori di servizi di comunicazione elettronica e di servizi della societàdell’informazione di notificare alle autorità indipendenti garanti dellaprotezione dei dati tutte le richieste “ricevute conformemente al paragrafo 1”¹⁹e un obbligo per lesuddette autorità di indagare tutte le richieste e di notificare “alle autoritàgiudiziarie competenti i casi in cui ritiene che le pertinenti disposizionilegislative nazionali non siano state rispettate”.

La notifica proposta è un’utile aggiuntanell’interesse di una maggiore trasparenza e di un maggior controllo da partedelle autorità di regolamentazione. Tuttavia, sebbene una siffatta disposizionepotenzierebbe notevolmente la capacità di supervisione e di applicazione dellalegge da parte delle autorità garanti della protezione dei dati, contribuendopertanto ulteriormente affinché l’accesso all’informazione si svolga nei limitidella legalità, essa graverebbe tanto le imprese interessate che le autoritàgaranti della protezione dei dati con un ulteriore onere amministrativo. A taleriguardo, il gruppo nutre apprensione che, poste nella necessità di monitorareil numero crescente di richieste²⁰ trattate dalle autoritàgiudiziarie e di controllare tutte le singole inchieste giudiziarie, leautorità garanti si confrontino con un aumento sostanziale del fabbisogno dirisorse finanziarie e umane.

Il gruppo propone pertanto che lasuddetta notifica abbia cadenza annuale e che fornisca dettagli sulle procedureinterne utilizzate per rispondere alle richieste di accesso ai dati personalidell’utente, sul numero di richieste ricevute, sulla base giuridica addotta esugli eventuali problemi riscontrati. È inoltre opportuno che l’obbligo di notifica così posto vengaarmonizzato e dettagliato a livello UE.

6. COMUNICAZIONI INDESIDERATE

L’emendamento 131 del Parlamentochiarisce che gli MMS e tecnologie simili rientrano nella definizione di “postaelettronica” di cui all’articolo 2, lettera h).

In primo luogo, il gruppo osserva che ilconsiderando 40 della direttiva relativa alla vita privata e alle comunicazionielettroniche già chiarisce che gli SMS rientrano nella definizione di postaelettronica²¹.

In secondo luogo, è necessario adeguarel’articolo 13, paragrafo 1, tenendo conto delle tecnologie emergenti,conformemente al principio posto al considerando 4²². Comeattualmente formulato, l’articolo 13, paragrafo 1, parte dall’assunto chel’interessato sia già connesso alla rete su cui transita la comunicazione (adesempio una telefonata o un messaggio di posta elettronica). Non sono pertantocontemplati i casi in cui l’abbonato sia sollecitato a connettersi ad una reteesclusivamente dedicata a messaggi pubblicitari, un eventuale caso tipico se sipensa alle applicazioni marketing bluetooth.

Il gruppo si compiace pertanto deichiarimenti forniti nei commenti della Commissione secondo cui la portatadell’articolo 13 riguarda principalmente l’uso della parola “comunicazione” eil nuovo considerando fa riferimento a “tecnologie simili”. Viene cosìgarantito il carattere necessario del previo consenso dell’utente per leapplicazioni marketing bluetooth, tenendo conto in tal modo delle osservazioniformulate dal gruppo nel parere 2/2008 riguardo la necessità di “tutelare gliutenti di connessioni wireless a corto raggio dalle comunicazioni nondesiderate, come previsto all’articolo 13”. Il considerando 40 potrebbeeventualmente contemplare un esplicito riferimento a bluetooth.

In terzo luogo, il gruppo ricorda leosservazioni espresse nel parere 2/2008 riguardo l’uso del termine “abbonato”di cui all’articolo 13 e prende nota con soddisfazione della formulazioneproposta dall’accordo del Consiglio.

Infine, la proposta del Consiglio dimodificare l’articolo 13, paragrafo 2, aggiungendo la frase “al momento dellaraccolta delle coordinate” è inoltre molto utile in quanto specifica in modoinequivocabile il momento in cui gli utenti sono in condizione di opporsiall’uso delle proprie coordinate elettroniche ai fini della pubblicità diretta.

7. IMPOSTAZIONI DEL PROGRAMMA DI NAVIGAZIONE

Il gruppo è decisamente contrarioall’emendamento 128 adottato dal Parlamento secondo cui le impostazioni delprogramma di navigazione sono un modo per esprimere un consenso preliminare. Sebbene l’emendamento sia ripreso nei commenti dellaCommissione e nell’accordo del Consiglio, il gruppo intende esprimersi ariguardo.

Prescindendo dal problema formale insitonella creazione da parte della direttiva di un siffatto linguaggiotecnico-specifico, il gruppo teme per l’erosione del concetto di consenso e perla mancanza di trasparenza che ne consegue.

Le impostazioni predefinite di moltiprogrammi di navigazione non consentono all’utente di essere informato circa itentativi di memorizzazione o di accesso alla sua apparecchiatura terminale. Leimpostazioni predefinite dei programmi di navigazione, per quanto si debbano“rispettose della privacy”, non possono pertanto essere un mezzo per l’utente dimanifestare la propria volontà libera, specifica e informata, come richiestoall’articolo 2, lettera h), della direttiva sulla tutela dei dati.

Per quanto riguarda i cookies, il gruppoè del parere che chi si avvale di questi dispositivi debba informarne l’utentenella dichiarazione sulla riservatezza e non far affidamento alle impostazioni(predefinite) dei programmi di navigazione. Peraltro la formulazione presceltanon si limita ai cookies ma include qualsiasi tecnologia atta ad individuare ilcomportamento dell’utente del programma di navigazione.

8. AZIONI GIUDIZIARIE PRESENTATE DA PERSONE FISICHE O GIURIDICHE

Il gruppo è a favore della propostadel Parlamento²³ di introdurre all’articolo 13, paragrafo 6, lapossibilità “per ogni persona fisica o giuridica avente un interesse legittimonella lotta contro le violazioni delle disposizioni nazionali” adottate aisensi della direttiva relativa alla vita privata e alle comunicazionielettroniche di promuovere un’azione giudiziaria.

Si tratta di una norma destinata senzadubbio a potenziare i diritti degli utenti e a contribuire allo sviluppo dimigliori pratiche in materia di sicurezza da parte degli operatori del settore.

9. ALTRE QUESTIONI

Il gruppo prende infine nota consoddisfazione:

- che il legislatore intende sanzionarele pratiche di phising²⁴;

- che la Commissione e il Consiglio hannotenuto conto²⁵ della richiesta del gruppo di essere consultatonell’ambito della procedura di comitatologia prevista all’articolo 4, paragrafo4;

- di essere stato inserito nel processodi consultazione di cui all’articolo 15 bis, paragrafo 4;

- che sarà consultato in occasionedell’elaborazione della relazione sull’applicazione della direttiva relativaalla vita privata e alle comunicazioni elettroniche rivista²⁶;

- del fatto che la Commissione, ilConsiglio e il Parlamento desiderino chiarire che le disposizioni delladirettiva relativa alla vita privata e alle comunicazioni elettroniche siapplicano alle tecnologie emergenti, quali RFID²⁷ o NFC, basate sudispositivi di identificazione a radiofrequenza senza contatto.

10. CONCLUSIONI

Tra le questioni sollevate nel presenteparere, il gruppo dell’articolo 29 chiede ai legislatori europei di tenersoprattutto presente la necessità di estendere la notifica delle violazionidella sicurezza dei dati personali ai servizi della società dell’informazione,tenuto conto della sua centralità ai fini della protezione dei dati personalidei cittadini europei.

Fatto a Bruxelles, il 10/02/2009

Per il Gruppo di lavoro

Il presidente

Alex TÜRK

NOTE             
1 Gazzetta ufficiale L 281 del 23.11.1995, pag. 31,

http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm

2 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp126_it.pdf

3 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp150_it.pdf

4 Il rischio di effettinegativi andrebbe soppesato in funzione di elementi quali la quantità di datiinteressati dalla violazione, la loro natura, le conseguenze della violazioneper l’interessato, ad esempio furto di identità, perdita finanziaria, mancateopportunità economiche o occupazionali, una combinazione di questi fattori oaltre circostanze simili. I criteri qualitativi e quantitativi in base ai qualistabilire le conseguenze degli effetti negativi dovranno essere definiti neldettaglio nell’ambito della procedura di comitatologia, tenendo conto dellanecessità di non oberare le autorità con casi di minore rilevanza e di nondiffondere allarme ingiustificato tra gli interessati.

5 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp126_it.pdf

6 È opportuno definireun formato standard per le registrazioni onde garantirne la verificabilità daparte della competente autorità nazionale di regolamentazione.

7 Alcune disposizionidella direttiva quali l’articolo 5, paragrafo 3 (cookies e spyware) el’articolo 13 (comunicazioni indesiderate) sono già norme generali applicabilinon solo ai servizi di comunicazione elettronica.

8 Il gruppo prende attoche disposizioni in tal senso sono state proposte dal Parlamento, dallaCommissione e dal Consiglio nel nuovo articolo 15 bis, paragrafo 1.

9 Si vedano i commentidella Commissione sugli emendamenti 187/rev e 184 adottati dal Parlamento.

10 Tuttavia, trattandosidi un concetto generale, la “violazione dei dati personali” non andrebbelimitata ai dati elaborati nell’ambito della fornitura di servizi dicomunicazione elettronica accessibili al pubblico, bensì esteso almeno aiservizi della società dell’informazione.

11 Si veda l’emendamento183.

12 Si veda il considerando29 degli emendamenti del Parlamento (emendamento 122) e i considerando 29 e 32dell’accordo del Consiglio.

13 Tantonell’apparecchiatura terminale dell’utente che in rete.

14 La DPI (deeppacket inspection) consente di seguire e localizzare il comportamento dell’utenzain modo molto invasivo.

15 Posto all'articolo 6,paragrafo 1.

16 Emendamento 185 delParlamento.

17 Parere 4/2007 sulconcetto di dati personali e il parere 1/2008 sugli aspetti della protezionedei dati connessi ai motori di ricerca.

18 Emendamento 139 e186/rev.

19 Che descrive gliobblighi in materia di conservazione di dati formalizzati dalla direttiva2006/24/CE sulla conservazione di dati.

20 Molti operatori delsettore delle telecomunicazioni ricevono ogni giorno diverse centinaia dirichieste del genere.

21 Fornita all’articolo2, lettera h), della direttiva relativa alla vita privata e alle comunicazionielettroniche.

22 Che afferma che ladirettiva relativa alla vita privata e alle comunicazioni elettroniche “deveessere adeguata agli sviluppi verificatisi nei mercati e nelle tecnologie deiservizi di comunicazione elettronica, in guisa da fornire un pari livello ditutela dei dati personali e della vita privata agli utenti dei servizi dicomunicazione elettronica accessibili al pubblico, indipendentemente dalletecnologie utilizzate”.

23 Emendamento133.

24 Emendamento 132 delParlamento.

25 Si vedano i commentidella Commissione all’emendamento 127 del Parlamento.

26 Si veda l’emendamento139 e 186/rev del Parlamento.

27 Articolo 3 e considerando 28.