PRIVACY - Recepimento Dir. 2009/136/CE, dati personali degli utenti, cookies, reti e dispositivi Rfid, cambia il codice privacy.
Il 13.04.2012 il Ministro per i rapporti con il Parlamento del Governo Monti-I, Prof. Dino Piero Giarda, ha inviato alle Camere per il rispettivo Parere, in ottemperanza a quanto previsto dalla c.d. "Legge comunitaria 2010", la bozza di decreto legislativo sui "Diritti degli utenti in materia di reti e servizi di comunicazione elettronica" (Atto del Governo n° 462, XVI Legislatura).
Prosegue dunque l'iter parlamentare dello Schema - sottoposto a parere delle Camere - di D.L.vo di recepimento, a livello nazionale, dei contenuti vincolanti della Direttiva 2009/136/CE, a modifica dei seguenti atti comunitari:
- Dir. 2002/22/CE (servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica),
- Dir. 2002/58/CE (trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche) e
- Reg. n° 2006/2004/CE (cooperazione tra autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori).
Infatti, il Governo era stato delegato - dagli artt. 9, co. 1-2-4, e 24, co. 1, L. 15.12.2011 n° 217 - ad adottare, entro tre mesi dalla data di entrata in vigore di detta legge (17.01.2012), un decreto legislativo in adempimento degli obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee, oltre alla delega inerente all'attuazione della 2009/140/CE del Parlamento europeo e del Consiglio, del 25.11.2009 (recante modifica delle Direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica, 2010/30/UE del Parlamento europeo e del Consiglio, del 19.05.2010).
Come previsto dalla L. n° 217/11, il decreto legislativo verrà attuato mediante adeguamento e integrazione delle disposizioni legislative in materia di comunicazioni elettroniche, di protezione dei dati personali e di tutela della vita privata nel settore delle comunicazioni elettroniche e di apparecchiature radio e apparecchiature terminali di telecomunicazione, anche tramite opportune modifiche al Codice delle comunicazioni elettroniche (D.L.vo 01.08.2003 n° 259), al Codice in materia di protezione dei dati personali (D.L.vo 30.06.2003 n° 196) e alla legge di attuazione della Dir. 1999/5/CE sulla conformità degli apparecchi di radio-telecomunicazione (D.L.vo 09.05.2001 n° 269).
Tra i principi della legge-delega, meritano d'essere evidenziati:
- innanzitutto (lett. i) il "rafforzamento delle prescrizioni in tema di sicurezza e riservatezza delle comunicazioni, nonché di protezione dei dati personali e delle informazioni già archiviate nell'apparecchiatura terminale, fornendo all'utente indicazioni chiare e comprensibili circa le modalità di espressione del proprio consenso, in particolare mediante le opzioni dei programmi per la navigazione nella rete internet o altre applicazioni";
- nonché (lett. l) la "individuazione, per i rispettivi profili di competenza, del Garante per la protezione dei dati personali e della Direzione nazionale antimafia quali autorità nazionali ai fini dell'art. 15, paragrafo 1-ter, della citata Dir. 2002/58/CE";
- ma anche (lett. q) la ri-"definizione del riparto di attribuzioni tra Autorità per le garanzie nelle comunicazioni e Garante per la protezione dei dati personali, nell'adempimento delle funzioni" loro rispettivamente assegnate;
- e, anche, (lett. r) la "revisione delle sanzioni e degli illeciti già previsti nelle materie di cui al co. 2 del presente art. 4, con particolare riguardo alle previsioni di cui al codice delle comunicazioni elettroniche, di cui al citato D.L.vo n° 259/2003, e alla legge 28.03.1991 n° 109", altresì "prevedendo sanzioni amministrative in caso di violazione delle norme introdotte dall'art. 2 della citata Dir. 2009/136/CE, con il conseguente riassetto del sistema sanzionatorio previsto, in particolare, dal Codice in materia di protezione dei dati personali, di cui al citato D.L.vo n° 196/2003, anche mediante depenalizzazione" e, infine, (lett. s) con "abrogazione espressa di tutte le disposizioni incompatibili con quelle adottate in sede di recepimento".
Al Senato della Repubblica l'Atto del Governo è stato assegnato alla VII Commissione permanente (Lavori pubblici, Comunicazioni), la quale si dovrà esprimere n sede consultiva entro il 26.05.2012, dopo aver acquisito le Osservazioni delle Commissioni Affari Costituzionali (I), Giustizia (II), Bilancio (V), Industria, commercio e turismo (X) e Politiche dell'Unione europea (XIV).
Alla Camera dei Deputati [ link ], invece, occorrerà attendere l'esito delle assegnazioni alle Commissioni Giustizia (II), Trasporti (IX), Politiche dell'Unione europea (XIV) e Bilancio (V), che si dovranno esprimere entro il medesimo termine del 26.05.12.
Il Garante Privacy, dal canto suo, si è già espresso al riguardo, rimarcando - tra l'altro - che il diritto alla protezione dei dati personali è un diritto fondamentale garantito dalla Costituzione ed é di esclusiva competenza legislativa dello Stato, talché non è regolabile da enti locali con norme regionali. Peraltro, solo alla competenza esclusiva dello Stato compete (ex art. 117, co. 2, lett. m), Cost.) l'esecuzione della normativa a tutela dei consumatori. Le osservazioni rese dal Garante Privacy, nel suo Parere favorevole del 29.03.12, sono state recepite dalla novella, che non potrà non diventare legge dello Stato, atteso che, nel caso di specie, i termini per il recepimento della direttiva sono già scaduti il 25.05.2011 ed era già stata aperta contro l'Italia la procedura d'infrazione per mancato recepimento degli atti comunitari (omessa trasposizione della direttiva comunitaria) e che le modifiche e le integrazioni resesi necessarie attengono a norme vigenti di rango primario, per nessuna delle quali sono previsti effetti abrogativi impliciti.
L'emanando Decreto contempla una maggiore tutela dei consumatori contro le violazioni dei dati personali e lo "spam", stabilendo in soli tre articoli che nomi, indirizzi e-mail e informazioni bancarie dei clienti di ciascun fornitore dei servizi di telecomunicazioni e di accesso a internet, ivi compresi i dati di ogni telefonata e di ogni sessione in rete, devono essere tenuti al sicuro da un uso indesiderato, accidentale o fraudolento, intervenendo in caso d'usurpazione d'identità dell'abbonato o, comunque, della persona interessata.
Inoltre, si è stabilito che gli operatori rispondano per l'elaborazione e la memorizzazione delle varie informazioni, tanto che - per la prima volta in Europa - è prevista la c.d. "notifica obbligatoria per la violazioni dei dati personali", atteso che i fornitori di comunicazioni saranno obbligati a informare le Autorità e persino i loro clienti (abbonati) delle eventuali violazioni della sicurezza che dovessero ledere i loro dati personali.
Poi, sono previsti rafforzamenti delle norme in materia di privacy, come ad esempio per i "cookies", cioè le stringhe di testo che memorizzano le opzioni di navigazione nel web degli utenti), a tale scopo prevedendo che agli utenti spetti una maggiore informazione - non necessariamente preliminare - sui cookies, sulle conseguenze per i loro dati personali e sul controllo esercitabile su di essi (nell'ambito della c.d. facilità di rinunciare ai cookies). È noto, infatti, che lo scambio di cookies è fondamentale per veicolare su internet la c.d. pubblicità comportamentale (sulle abitudini di consumo) e la diffusione in rete di contenuti gratuiti a carattere commerciali e/o d'interesse sociale e culturale è dovuta in gran parte proprio agli introiti derivanti dalla pubblicità on line.
Per altro verso, il Decreto obbliga i soggetti operanti su reti di comunicazione elettronica a garantire che i dati personali altrui siano esclusivamente accessibili da parte del personale autorizzato per fini legalmente autorizzati e, inoltre, annovera, tra le misure da predisporre da parte di tali operatori delle reti, la protezione dei dati relativi al traffico e all'ubicazione e degli altri dati personali archiviati o trasmessi, salvaguardandoli dalla distruzione anche accidentale, dalla perdita o dall'alterazione anche accidentale e dall'archiviazione, dal trattamento, dall'accesso o dalla divulgazione non autorizzati o illeciti.
Il Decreto interviene altresì sull'art. 121 del Codice delle Comunicazioni elettroniche, stabilendo che sono "servizi interessati", ai fini delle disposizioni del Titolo X, anche quelli forniti attraverso reti di comunicazione elettronica accessibili al pubblico, espressamente includendo quelle che supportano i dispositivi di raccolta e di identificazione dei dati (i nuovi obblighi, dunque, riguarderanno anche l'eventuale erogatore di servizio, che agisca per conto del fornitore, nei confronti di quest'ultimo, benché l'estensione dell'obbligo non sia stata esplicitamente prevista dalla Direttiva).
Quanto al trattamento per fini commerciali o per la fornitura di servizi a valore aggiunto, v'è poi la novità costituita dal fatto che i dati sul traffico relativi ai contraenti e agli utenti (di cui al co. 1 dell'art. 123 del Codice delle Comunicazioni elettroniche) può avvenire solo dopo il consenso dell'utente.
Quanto, invece, alle "comunicazioni indesiderate", si introduce il divieto di trasgredire agli art. 8 e 21 del Codice sul commercio elettronico, venendo d'ora innanzi impedito anche l'espediente di esortare i destinatari delle comunicazioni a visitare siti web in violazione dei suddetti articoli del D.L.vo 09.04.2003 n° 70.
Il decreto delegato de quo dovrebbe dare pratica attuazione agli obiettivi tracciate nella c.d. "Agenda Digitale Europea", volta a realizzare il mercato unico digitale, considerata la persistente mancanza di un mercato unico nel settore e la crescita esponenziale dei servizi connessi a sistemi di raccolta e identificazione dei senza contatto, tramite dispositivi a radiofrequenza, cc.dd. RFID, con successivo trasferimento dei dati attraverso reti di comunicazione esistenti.
L'intervento legislativo ha come dichiarata finalità quella di soddisfare l'esigenza di garantire sia una migliore qualità dei servizi e delle applicazioni innovative per i consumatori, incrementando la protezione dei loro dati personali (dalla semplice navigazione in rete alluso dei servizi telematici sanitari o della pubblica amministrazione), sia␣l'obiettivo di sollecitare lo sviluppo di un mercato interno (nell'ambito dei 27 Paesi dell'Unione) aperto e concorrenziale che di rafforzare la crescita economica della produttività per le imprese del settore e, in ultima analisi, dell'occupazione.
Alla data del 29.02.2012 già 12 Stati membri dell'Unione europea (Austria, Finlandia, Danimarca, Estonia, Irlanda, Lettonia, Lituania, Lussemburgo, Malta, Regno Unito, Slovacchia, Svezia) hanno completato la trasposizione della Direttiva 2009/136/CE nei rispettivi ordinamenti nazionali.