g-docweb-display Portlet

Parere del Garante al Ministro dello sviluppo economico e delle infrastrutture e dei trasporti in ordine a uno schema di decreto legislativo recan...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1893400]

Parere del Garante al Ministro dello sviluppo economico e delle infrastrutture e dei trasporti in ordine a uno schema di decreto legislativo recante attuazione della direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 - 29 marzo 2012

Registro dei provvedimenti
n. 119 del 29 marzo 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministro dello sviluppo economico e delle infrastrutture e dei trasporti;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il Ministro dello sviluppo economico e delle infrastrutture e dei trasporti ha richiesto il parere del Garante in ordine a uno schema di decreto legislativo recante attuazione della direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell´esecuzione della normativa a tutela dei consumatori.

L´odierno provvedimento è adottato ai sensi degli articoli 9 e 24 della legge 15 dicembre 2011, n. 217 (legge comunitaria 2010) ed è stato predisposto all´esito dei lavori di un apposito tavolo tecnico cui ha fornito il proprio contributo anche l´Ufficio del Garante.

Lo schema di decreto introduce significative modifiche al Codice in materia di protezione dei dati personali (infra: Codice), alcune delle quali suscettibili tuttavia di ulteriore miglioramento o comunque di integrazione, sulla base delle osservazioni che saranno di seguito esposte.

RILEVATO

Tra le più rilevanti innovazioni introdotte dallo schema di decreto si segnalano, in particolare, le seguenti.

In attuazione del disposto di cui all´articolo 2, numero 2, lettera c), della direttiva 2009/136/CE, è introdotta nel Codice la fattispecie di "violazione di dati personali",  definita – con formulazione pressoché identica a quella contenuta nella direttiva – quale "violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l´accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico". Si delinea dunque una fattispecie di evento e di danno, il cui disvalore si radica appunto nella violazione dei dati personali dell´interessato, determinatasi in conseguenza del verificarsi di uno degli eventi tipizzati, in forma alternativa, dalla norma. La sola differenza della formulazione proposta rispetto a quella contenuta nella direttiva consiste nell´omesso riferimento esplicito al requisito d´illiceità speciale (" (…) o in modo illecito") che, nel testo della norma europea, può caratterizzare la condotta. Tuttavia la tipizzazione, nello schema di decreto, della condotta in forma libera, attraverso il riferimento alla possibilità di realizzazione anche in modo accidentale, ricomprende al suo interno, a fortiori, sia pure implicitamente, anche il suddetto requisito d´illiceità speciale.

Con uno specifico articolo, il 32-bis – inserito all´interno della sezione codicistica riservata alle misure di sicurezza - sono disciplinati gli adempimenti cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico (e, per parte loro, i soggetti cui l´erogazione del servizio stesso sia, eventualmente, affidata) è tenuto, nel caso in cui si verifichi una violazione di dati personali.  Tali adempimenti consistono, essenzialmente, nella comunicazione dell´evento al Garante, al fine di consentirgli l´esercizio dei propri poteri a tutela degli interessati.

Inoltre, qualora l´illecito rischi di "arrecare pregiudizio ai dati personali o alla vita privata di un abbonato o di altra persona", il fornitore è tenuto a fornire idonea comunicazione anche a tali soggetti. La suddetta comunicazione può essere omessa nel caso in cui il fornitore dimostri al Garante di aver utilizzato (ed applicato ai dati oggetto della violazione) misure di protezione tali da rendere i dati inintelligibili a chi non sia autorizzato ad accedervi, potendo evidentemente presumersi che, in tale ipotesi, il bene protetto dalla norma non sia stato leso e, dunque, l´interessato non abbia subito un danno.

L´omesso adempimento ai suddetti obblighi integra gli estremi di un illecito amministrativo, punito con sanzioni pecuniarie, differenziate nel quantum in ragione della rilevanza dell´obbligo inadempiuto ai fini della protezione dei dati personali.

In attuazione del disposto di cui all´articolo 2, numero 5), della direttiva, lo schema di decreto prevede inoltre – con una modifica dell´articolo 122, comma 1, del Codice - che l´archiviazione di informazioni nell´apparecchiatura terminale di un abbonato o di un utente o l´accesso a informazioni già archiviate sono legittimi unicamente qualora l´abbonato o l´utente abbia espresso il proprio consenso, dopo essere stato informato. Sono invece consentiti l´eventuale archiviazione tecnica e l´accesso, qualora volti unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell´informazione esplicitamente richiesto dall´abbonato o dall´utente a erogare tale servizio.

Si introduce così, in questa materia, il  regime dell´opt-in  -che presuppone il previo consenso al trattamento dei dati - in luogo di quello dell´opt-out, che invece si fonda sulla manifestazione, da parte dell´interessato, di un atto di rifiuto o di opposizione al trattamento.

RITENUTO

1. La definizione di "abbonato".
L´articolo 1, comma 1, lettera a), n. 4 dello schema di decreto stabilisce che all´articolo 4, comma 2, lett. f), del Codice (che reca la definizione di "abbonato") il termine "abbonato" deve intendersi come "contraente", in coerenza con la definizione contenuta nel decreto legislativo 1 agosto 2003 n. 259 (codice delle comunicazioni elettroniche) come modificato dallo schema di decreto di attuazione delle direttive 2009/140/CE e 2009/136/CE. La modifica del nomen della definizione risulta proposta al fine di assicurarne la riferibilità ad ogni forma di "rapporto" del consumatore con il fornitore di un servizio di comunicazione elettronica, sul presupposto che il termine "abbonato" sia ormai un po´ "datato" in quanto si riferisce solo all´abbonamento al servizio e non ad altre forme di rapporto ormai molto più diffuse (si pensi, ad esempio, alle c.d. carte pre-pagate).

Come già rilevato dall´Ufficio del Garante nel corso dei lavori del tavolo tecnico, tale modifica non appare necessaria, posto che il contenuto della definizione –che comunque rimane inalterato - fa riferimento a soggetti "parte di un contratto" con il fornitore si servizi di comunicazione elettronica. Inoltre, sopprimendo il termine "abbonato" se ne perderebbe l´efficacia evocativa, immediatamente associabile, nell´uso comune ormai radicato, allo specifico settore delle comunicazioni (a fronte di un termine, qual è "contraente", molto più ampio e generico).

Ciò posto, se, come sembra, il nomen della definizione viene modificato nel codice delle comunicazioni elettroniche è opportuno che sia modificato anche nel Codice in materia di protezione dei dati personali che di quella definizione recepisce il contenuto.

Quanto alle modalità con cui apportare tale modifica, si richiama l´attenzione dell´Amministrazione sull´opportunità di ricorrere alla norma proposta nel presente schema (art. 1, comma 1, lettera a), n. 4) – che appare, per lo più, di natura interpretativa – oppure ad una novella espressa che sostituisca, ovunque ricorra nel Codice, la parola "abbonato" con la parola "contraente". Ove si acceda a tale ultima soluzione, la parola "abbonato" dovrebbe essere sostituita con la parola "contraente" ovunque ricorra anche nell´odierno schema.

2. L´informativa all´abbonato e all´utente.
L´articolo 1, comma 5, lettera a), dello schema reca modifiche all´articolo 122 del Codice che disciplina la raccolta di informazioni nei riguardi dell´abbonato e dell´utente. Le modifiche apportate, come già anticipato sopra, mirano a dare piena attuazione alla direttiva 2009/136/CE che, com´è noto, sul punto ha introdotto il principio dell´opt-in (consenso al trattamento) in luogo di quello dell´opt-out (rifiuto o opposizione al trattamento), richiedendo comunque che il consenso sia espresso dall´interessato solo dopo che questi sia stato "informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l´altro sugli scopi del trattamento" (art. 5, par. 3, dir. 2002/58/CE, come modificato dalla direttiva 2009/136/CE) (al riguardo, peraltro, si ritiene opportuno integrare sul punto la relazione illustrativa allo schema di decreto, che non fa alcun riferimento al "passaggio" dal sistema dell´opt-out a quello dell´opt-in). Opportunamente, quindi, già il vigente testo dell´articolo 122 del Codice, come pure la proposta di modifica contenuta nello schema odierno, prevedono che l´interessato debba essere informato "ai sensi dell´articolo 13" del Codice.

Senonché, nella versione dello schema trasmessa al Garante per il parere, di seguito al riferimento all´articolo 13 è stata inserita la formula "in quanto applicabile".

Tale previsione non è in linea con il dettato della direttiva europea (e conseguentemente con l´impianto dello stesso Codice). Il diritto dell´abbonato (rectius: del contraente, d´ora in poi) e dell´utente ad essere informati ai sensi della normativa in materia di protezione dei dati personali è un diritto che deve essere assicurato nella sua pienezza, a prescindere da ogni valutazione di "applicabilità" o di compatibilità.

Altra cosa è, semmai, individuare forme semplificate di informativa, che agevolino l´adempimento di tale obbligo da parte dei fornitori di servizi di comunicazione elettronica, per le quali lo stesso articolo 13 attribuisce al Garante specifica competenza "in particolare", ma non solo, per specifici servizi telefonici (art. 13, comma 3, del Codice). L´Autorità, peraltro, ha già, in più occasioni, individuato forme semplificate di informativa in diversi settori.

Tutto ciò premesso, quindi, si ritiene necessario che all´articolo 1, comma 5, lettera a), dello schema, le parole "ai sensi dell´articolo 13 in quanto applicabile" siano sostituite dalle seguenti: ", con le modalità semplificate di cui all´articolo 13, comma 3".

Ovviamente, occorrerà adeguare al riguardo anche la relazione illustrativa allo schema di decreto.

3. Modifiche formali.
All´articolo 1, comma 9, cpv. 3, riguardante una nuova sanzione introdotta dallo schema in attuazione della direttiva, per un mero refuso risulta citato il comma 6 dell´articolo 32-bis del Codice in luogo del comma 7 del medesimo articolo. La norma va pertanto corretta nel senso indicato.

CONSIDERATO

4. Gli abbonati-persone giuridiche.
Il recente decreto legge n. 201 del 2011, convertito, con modificazioni, dalla l. n. 214 del 2011 (c.d. "Salva-Italia"), nel quadro di un ampio intervento di riduzione degli adempimenti amministrativi per le imprese, ha escluso dall´applicazione della normativa in materia di protezione dei dati personali il trattamento dei dati relativo a persone giuridiche, enti o associazioni (art. 40, comma 2, d.l. n. 201/2011). Così facendo, ha esentato tali soggetti da alcuni adempimenti che gravano sui titolari del trattamento, ma al tempo stesso li ha privati di molte garanzie e strumenti di tutela.

In effetti, sul punto la direttiva 95/46/CE aveva lasciato un´ampia discrezionalità agli Stati membri rimettendo ad essi la facoltà di estendere, in sede di recepimento, la portata applicativa delle norme in materia di privacy anche alle persone giuridiche ovvero di limitarla esclusivamente ai trattamenti di dati delle sole persone fisiche. Il legislatore italiano del 1996, con scelta confermata anche nel 2003 con il Codice in materia di protezione dei dati personali (d.lg. n. 196 del 2003),  aveva optato - com´è noto - per la prima soluzione.

Oggi, invece, a seguito delle modifiche richiamate, per dato personale deve intendersi, anche in Italia, "qualunque informazione relativa a persona fisica, identificata o identificabile" e per  interessato esclusivamente "la persona fisica cui si riferiscono i dati personali" (art. 4, comma 1, rispettivamente lett. b) e i) del Codice, nella sua nuova formulazione).

In definitiva, la portata applicativa di tutte le disposizioni del Codice che riguardano gli interessati ovvero il trattamento di dati personali è stata limitata in via esclusiva alle persone fisiche ed ai trattamenti di informazioni personali ad esse relative.

Il legislatore del 2011 non ha, per altro verso, modificato altre disposizioni del Codice (Titolo X – Comunicazioni elettroniche) dedicate al trattamento di dati connesso alla fornitura di servizi di comunicazioni elettronica e, in particolare, non ha modificato l´oggetto della definizione di "abbonato" a tali servizi di comunicazione elettronica, pure contenuta nel Codice, che risulta perciò tuttora applicabile tanto alle persone fisiche quanto a quelle giuridiche (art. 4, comma 2, lett. f) del Codice).

La mancata esclusione delle persone giuridiche dalla nozione di "abbonato" si conforma del resto al quadro normativo europeo e, in particolare, alla direttiva 2002/58/CE da cui quelle norme derivano; tale direttiva, infatti, precisa che "gli abbonati ad un servizio di comunicazione elettronica accessibile al pubblico possono essere persone fisiche o persone giuridiche" (considerando 12) e prevede "la tutela dei legittimi interessi degli abbonati che sono persone giuridiche" (art. 1, par. 2).

Pertanto, le persone giuridiche, gli enti e le associazioni, in quanto abbonati a un servizio di comunicazione elettronica, dovrebbero poter continuare a fruire ancora delle garanzie previste dal titolo X del Codice.

Tale soluzione – la sola, del resto, conforme all´obbligo di interpretazione adeguatrice del diritto interno rispetto al diritto dell´Unione europea – non emerge tuttavia con chiarezza dal dato testuale delle disposizioni del Codice, posto che il titolo X riguarda comunque il trattamento di "dati personali", con esclusione, dunque, dei dati relativi alle persone giuridiche, giusta la novella apportata dal decreto-legge n. 201 del 2011 (art. 121 del Codice). Non solo, ma anche le tutele amministrative innanzi al Garante continuano ad essere riconosciute solo agli "interessati", con esclusione, dunque, ancora una volta, a seguito della nuova definizione, delle persone giuridiche e degli altri soggetti assimilati (art. 141 del Codice).

In conclusione, questa Autorità ritiene che debba essere delineato con chiarezza il quadro normativo riferibile alla figura dell´abbonato-persona giuridica, in particolare per quanto riguarda le garanzie e le forme di tutela che si intendono riservare a questi soggetti (diritto di accesso a propri dati personali, diritto di opposizione, ecc.), tenuto conto della normativa europea.

L´occasione per un intervento normativo potrebbe essere rappresentata proprio dall´odierno schema di decreto legislativo che dà attuazione alla direttiva 2009/136/CE di modifica della direttiva 2002/58/CE, concernente, appunto, il trattamento dei dati personali nel settore delle comunicazioni elettroniche.

A tal riguardo, a titolo di collaborazione, si segnala che le modifiche potrebbero riguardare le nozioni stesse di "interessato" e di "dato personale", nelle quali far rientrare, limitatamente al trattamento dei dati nel settore delle comunicazioni elettroniche, rispettivamente, le persone giuridiche, gli enti ed associazioni in quanto "abbonati" ad un servizio di comunicazione elettronica, e i dati relativi a tali soggetti. Pertanto, nello schema di decreto si potrebbe introdurre una norma del seguente tenore:

"All´articolo 4, comma 1, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, sono apportate le seguenti modifiche:

a) alla lettera b), le parole: "identificata o identificabile", sono sostituite dalle seguenti: ", nonché, limitatamente al settore delle comunicazioni elettroniche, qualunque informazione relativa a persona giuridica, ente od associazione abbonati ad un servizio di comunicazione elettronica accessibile al pubblico, sempre che si tratti di soggetti identificabili o identificabili";

b) alla lettera i), sono aggiunte, in fine, le seguenti: ", nonché la persona giuridica, l´ente o l´associazione abbonati ad un servizio di comunicazione elettronica accessibile al pubblico, limitatamente al trattamento dei dati nel settore delle comunicazioni elettroniche."

In alternativa, si potrebbe introdurre (nel titolo X del Codice) una norma "generale" che chiarisca il regime normativo degli abbonati-persone giuridiche, specie per quanto riguarda le tutele e le garanzie ad esse spettanti.

IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recante attuazione della direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell´esecuzione della normativa a tutela dei consumatori, con le seguenti osservazioni:

a) all´articolo 1, comma 5, lettera a), dello schema, le parole: "ai sensi dell´articolo 13 in quanto applicabile" siano sostituite dalle seguenti: ", con le modalità semplificate di cui all´articolo 13, comma 3" (punto 2);

b) all´articolo 1, comma 9, cpv. 4, le parole: "32-bis, comma 6" siano sostituite dalle seguenti: "32-bis, comma 7" (punto 3);

e con le seguenti raccomandazioni:

c) in relazione alla definizione di "abbonato", si richiama l´attenzione dell´Amministrazione sull´opportunità di ricorrere alla norma proposta nel presente schema (art. 1, comma 1, lettera a), n. 4) oppure ad una novella espressa che sostituisca, ovunque ricorra nel Codice, la parola "abbonato" con la parola "contraente" (punto 1);

d) si richiama l´attenzione dell´Amministrazione sull´opportunità che sia delineato con chiarezza il quadro normativo riferibile alla figura dell´abbonato-persona giuridica, in particolare per quanto riguarda le garanzie e le forme di tutela da riservare a questi soggetti, tenuto conto della normativa europea, con le modalità suggerite in premessa o con altre analoghe (punto 4).

Roma, 29 marzo 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli