Nelle ultime settimane, quasi in coincidenza con la scadenza del periodo di prorogatio del mandato settennale dell’Authority, il delicato universo della protezione dei dati personali è stato teatro di alcune importanti novità.
Con i dd. llgss. 28 maggio 2012, n.ri 69 e 70, infatti, sono state recepite in Italia le direttive 2009/136/EC ‘in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche’, e 2009/140/C ‘in materia di reti e servizi di comunicazione elettronica’.
Con tali decreti – entrambi pubblicati sulla G.U. n. 126 del 30.05.2012 – l’Italia si è adeguata al mutato contesto normativo comunitario, dando esecuzione alla delega contenuta nella legge n. 217 del 15 dicembre 2011 – G.U. n. 1 del 2 gennaio 2012 , per il cui ritardato recepimento ben 20 Paesi – tra i quali l’Italia stessa – erano stati diffidati di avvio della relativa procedura di infrazione.
Scopo principale della Direttiva, “l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità”.
In sintesi: unico mercato, qualità dei servizi e maggiore tutela nel trattamento dei dati personali.
L’art. 9 comma 2 della delega aveva già chiarito espressamente la tipologia di interventi da effettuare: “I decreti legislativi…omissis… recanti le norme di attuazione delle direttive 2009/136/CE e 2009/140/CE sono adottati attraverso l’adeguamento e l’integrazione delle disposizioni legislative in materia di comunicazioni elettroniche, di protezione dei dati personali e di tutela della vita privata nel settore delle comunicazioni elettroniche e di apparecchiature radio e apparecchiature terminali di telecomunicazione, anche mediante le opportune modifiche al codice delle comunicazioni elettroniche, di cui al decreto legislativo 1º agosto 2003, n. 259, al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e al decreto legislativo 9 maggio 2001, n. 269”.
Il legislatore, pertanto, ha optato per la modifica diretta di alcune disposizioni e per l’inserimento di alcune nuove norme ad integrazione delle disposizioni previste dalla direttiva.
Rinviando ad altra occasione la disamina del decreto 70/2012, si limita l’odierna trattazione al commento del decreto 69/2012, evidenziando immediatamente come la tempistica ritardata – un anno in più rispetto alla prevista data di recepimento fissata per il 25 maggio 2011 – possa presumibilmente ricondursi alla portata che la normativa spiega in ottica imprenditoriale, ed alle comprensibili resistenze riscontrate anche in altri Stati, non immediatamente reattivi al completamento della procedura di ratifica al pari di quanto accaduto in Italia.
Determinante, in tal senso, deve ritenersi l’intervenuta modifica alla precedente direttiva 2002/58/CE, mediante l’inserimento della cosiddetta ‘cookie law’, comportante un nuovo regime di opt-in con l’obbligo del consenso esplicito dell’utente per l’installazione dei cookies sui propri devices.
Il dilemma era noto, e optare – mi si pendoni il gioco di parole – per la strada dell’opt-in (consenso al trattamento) o dell’opt-out (rifiuto o cessazione del trattamento) non era cosa semplice, poiché se da un lato la preventiva scelta dell’utente garantisce una maggiore tutela, è innegabile che, dall’altro, l’opt-out consenta una maggiore ‘fluidità’ nel trattamento dei dati e quindi della navigazione, rinviando la manifestazione dell’eventuale dissenso solo ad una fase successiva, con tutte le ovvie conseguenze in merito a conoscibilità e consapevolezza da parte dell’utente stesso.
Meccanismo, quest’ultimo, molto più semplice, ma anche, apparentemente, molto conveniente per tutte le società che basano il proprio modello di business sull’analisi del comportamento dell’utente a fini pubblicitari – come accade nel behavioural marketing – che siano società di advertising puro o società che forniscono servizi free in cambio di dati da cedere a terzi che quella pubblicità la fanno per oggetto sociale; fenomeno, tuttavia, quasi in controtendenza, a voler considerare molti recenti studi sul tema, i quali dimostrerebbero che la pubblicità pura, effettuata sul web – ossia quella priva del valore aggiunto dato dal networking – raramente ripaga gli investitori.
L’opposizione opt-in/opt-out – si ricorderà – aveva ingenerato anche un piccolo ‘giallo’ in fase di traduzione, con la comparsa di un ‘preliminarmente’ nel testo italiano, assente nel testo originale inglese (“on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information”) con conseguente orientamento del testo a favore dell’opt-in; prevalenza che, come abbiamo detto, non era presente nel testo originario.
La questione poteva (e doveva) essere risolta anche stabilendo quali tipologie di cookies rientrassero tra quelli preventivamente autorizzabili, e, appunto, se i cookies di navigazione dovessero rientrare tra questi o fosse possibile esentarli dal consenso preventivo in quanto strettamente necessari.
Quello stesso ‘preliminarmente’ sembrava richiamare, in un certo senso, la posizione espressa in merito dal gruppo di lavoro ‘Articolo 29’, secondo cui il consenso degli utenti deve essere preventivo – favorevole, quindi, all’interpretazione più restrittiva; di contro, la Commissaria Kroes, di diverso avviso, evidenziava la sola necessità di scelta da parte dell’utente, per cui è sufficiente che lo stesso sia adeguatamente informato, sì da orientare di conseguenza le proprie scelte di navigazione.
Il decreto ha, quindi, il merito di appalesare un obbligo al consenso, già previsto nell’ordinamento italiano dal generale obbligo di informativa preventiva di cui all’art. 13 per il trattamento dei dati personali, ma non specificamente declinato (rectius: esplicitato) per la navigazione web.
Non numerose ma importanti le norme modificate:
l’art. 4 aggiunge alle ‘definizioni’ i concetti di ‘chiamata, reti di comunicazione elettronica e rete pubblica di comunicazione’, nonché, al comma 3 è aggiunto un comma g-bis) che dettaglia la violazione di dati personali nella “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”, utilizzando, tra l’altro, una definizione pressochè identica a quella della direttiva, con la sola esclusione dell’eventuale esplicazione della condotta illecita – comunque ricompresa dal tenore letterale della disposizione;
l’art. 32, che viene ri-rubricato in “Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico” con focus sulla sicurezza dei dati e obbligo per il fornitore – anche in caso di servizi affidati in outsourcing – di predisposizione di “misure tecniche e organizzative adeguate al rischio esistente”; in particolare, i fornitori garantiscono l’accesso ai dati solo da parte di personale autorizzato e si evidenzia che tra i dati protetti sono compresi anche quelli relativi al traffico ed all’ubicazione.
All’interno del Titolo X del Codice, inoltre, relativo alle “Comunicazioni elettroniche”, vengono modificati:
l’art. 121, tramite l’inserimento espresso dell’applicabilità degli articoli alle reti che “sopportano i dispositivi di raccolta dei dati e di identificazione”;
l’art. 123, al comma 3, dove l’inserimento di una sola parola, ‘preliminarmente’, identifica senza ombra di dubbio la necessità del consenso preliminare per il trattamento dei dati relativi al traffico del contraente/utente( non più ‘abbonato’, mutamento terminologico che presuppone la copertura di un numero maggiore di tipologie di rapporti);
l’art. 130, sulle “comunicazioni indesiderate”, con l’inserimento del richiamo e del rispetto degli artt. 8 e 21 del d. lgs. 9 aprile 2003, n. 70, e quindi con la necessità di rispetto delle disposizioni in tema di primo invio di comunicazioni commerciali e relative sanzioni, pur in vigenza del consenso dell’interessato.
Nucleo contrale del corpus riformae, l’inserimento di alcuni nuovi articoli nella formulazione prevista dalla direttiva:
l’art. 32-bis, sugli “Adempimenti conseguenti ad una violazione di dati personali”, che inserisce, per la prima volta in Europa, l’obbligo, per le società telefoniche e gli internet provider, di notificare alle rispettive Authority tutte le violazioni di sicurezza relative ai dati personali, prevedendo, altresì, che la notifica venga effettuata anche agli utenti “quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona”;
l’art. 132-bis, relativo alle “Procedure istituite dai fornitori”, prevede l’obbligo per i fornitori di istituire procedure interne, da comunicare al garante, e aventi ad oggetto le richieste che prevedono forme di accesso ai dati dell’utente;
l’art. 162-ter, che istituisce nuove sanzioni per la violazione delle notifiche previste dal nuovo articolo 32-bis.
Centrali, infine, per le precisazioni già fatte, le modifiche all’art. 122 del Codice, ai sensi del quale (il grassetto è di chi scrive):
il comma 1 viene sostituito dalla previsione per cui “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” – disposizione che specifica, pertanto, che l’accesso alle informazioni o la loro memorizzazione può essere solo successiva all’informativa ‘semplificata’, che spetterà al nuovo Garante specificare con proprio provvedimento. Disposizione stemperata, comunque, per i cookies essenziali, dalla previsione per cui è consentita “l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”;
il comma 2 viene sostituito dalla previsione per cui “ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente”, fondamentale nell’ottica commerciale di evitare di paralizzare l’utilizzo dei servizi online, anche al fine di velocizzare le procedure relative; il riferimento, chiaro, è all’utilizzo di dispositivi (add-on, opzioni, etc..) di implementazione dei browser web – si pensi, tra tutti, al ‘do non track’ di Firefox – che vengono previamente impostati per non rilasciare informazioni e quindi vengono considerati valida prestazione di consenso ‘semplificato’;
viene inserito un comma 2-bis, che esplicitamente vieta “l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”, con esplicita precisazione, pertanto, tra le attività non consentite, del monitoraggio delle operazioni effettuate dall’utente.
Come abbiamo visto, quindi, la scelta è caduta sul regime di opt-in , pur con i suoi limiti intrinseci, rispetto all’opposto regime di opt-out, al quale pur molti erano (e sono tuttora) favorevoli anche tra gli operatori del diritto e gli esperti di tutela dei dati personali; tuttavia, le nuove disposizioni prevedono anche correttivi – la disposizione relativa ai cookies necessari alla comunicazione o all’erogazione del servizio – e ulteriori vincoli
Come spesso accade, non tutto può ancora dirsi definito: seppure chi scrive non sia totalmente avversa al nuovo regime ‘semplificato’ introdotto – pur nella consapevolezza dei limiti che un tale sistema comporta nell’ottica dei contrapposti interessi (motivo per cui non è certo per ‘stile’ che l’art. 3 della Direttiva ricorda che “le misure nazionali in materia di accesso o di uso di servizi e applicazioni attraverso reti di comunicazione elettronica da parte di utenti finali rispettano i diritti e le libertà fondamentali delle persone fisiche…omissis”), non può non sottolinearsi come in buona parte del resto del mondo – e internet è essenzialmente ‘resto del mondo’ – continui a valere il regime di opt-out, con conseguenze che potrebbero essere fortemente limitative per gli operatori comunitari nel confronto con i pari operatori extra-UE: ai sensi dell’art. 3 della Direttiva, infatti, i servizi interessati sono tutti quelli connessi “alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti di comunicazione pubbliche nella Comunità, comprese le reti di comunicazione pubbliche che supportano i dispositivi di raccolta e di identificazione dei dati”.
Sarà, poi, fondamentale che le nuove disposizioni, nella loro applicazione pratica, trovino una mediazione su due aspetti ancora irrisolti: i cosiddetti ‘cookies di navigazione’ – in quale categoria rientrano? sono da considerarsi essenziali per l’erogazione del servizio? – e la definizione di una informativa completa, corretta ed esaustiva, che, abbiamo visto, dovrà essere necessariamente costruita intorno al concetto di ‘consenso semplificato’ che il Garante, con proprio provvedimento, enucleerà ex art. 13, comma 3.
Gli interessi in gioco, infatti, sembrano ancora essere contrapposti: da un lato, i provider, per i quali i cookies – possibilmente tutti – servono principalmente a migliorare l’esperienza di navigazione – il file gentilmente predisposto e inviato, all’insaputa dell’utente, all’interno di un dispositivo, qualunque esso sia, memorizza visite, link utilizzati, gusti ed abitudini, e che quindi consente di ricostruire il percorso seguito; dall’altro, gli utenti più attenti alle modalità di tutela e trattamento dei dati personali, per i quali questa ricostruzione del percorso avrebbe fatto (farebbe?) di noi tanti inconsapevoli Pollicino, consentendo alle aziende di ricostruire i nostri profili particolareggiati proprio attraverso gusti e preferenze, finalizzando il tutto non alla user experience, bensì all’invio di pubblicità mirata.
Di certo, molti punti su cui riflettere ancora, anche in vista dell’entrata in vigore del nuovo regolamento comunitario, prevista per la fine del 2013/inizio 2014.
La direttiva e-Privacy al recepimento italiano: profili e prospettive principali
0
Share.
