Parere del Garante al Ministro dello sviluppo economico e delle infrastrutture e dei trasporti in ordine a uno schema di decreto legislativo recante attuazione della direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009

Parere del Garante alMinistro dello sviluppo economico e delle infrastrutture e dei trasporti inordine a uno schema di decreto legislativo recante attuazione della direttiva2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009

PROVVEDIMENTO DEL 29MARZO 2012

Registro dei provvedimenti n. 119 del 29marzo 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

Vista la richiesta di parere del Ministro dello sviluppo economico edelle infrastrutture e dei trasporti;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il Ministro dello sviluppo economico e delle infrastrutture e deitrasporti ha richiesto il parere del Garante in ordine a uno schema di decretolegislativo recante attuazione della direttiva 2009/136/CE del Parlamentoeuropeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva2002/22/CE relativa al servizio universale e ai diritti degli utenti in materiadi reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CErelativa al trattamento dei dati personali e alla tutela della vita privata nelsettore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori.

L'odierno provvedimento è adottato ai sensi degli articoli 9 e 24della legge 15 dicembre 2011, n. 217 (legge comunitaria 2010) ed è statopredisposto all'esito dei lavori di un apposito tavolo tecnico cui ha fornitoil proprio contributo anche l'Ufficio del Garante.

Lo schema di decreto introduce significative modifiche al Codice inmateria di protezione dei dati personali (infra: Codice), alcune delle qualisuscettibili tuttavia di ulteriore miglioramento o comunque di integrazione,sulla base delle osservazioni che saranno di seguito esposte.

RILEVATO

Tra le più rilevanti innovazioni introdotte dallo schema di decreto sisegnalano, in particolare, le seguenti.

In attuazione del disposto di cui all'articolo 2, numero 2, letterac), della direttiva 2009/136/CE, è introdotta nel Codice la fattispecie di "violazionedi dati personali", definita – con formulazione pressochéidentica a quella contenuta nella direttiva – quale "violazionedella sicurezza che comporta anche accidentalmente la distruzione, la perdita,la modifica, la rivelazione non autorizzata o l'accesso ai dati personalitrasmessi, memorizzati o comunque elaborati nel contesto della fornitura di unservizio di comunicazione accessibile al pubblico". Si delinea dunque unafattispecie di evento e di danno, il cui disvalore si radica appunto nellaviolazione dei dati personali dell'interessato, determinatasi in conseguenzadel verificarsi di uno degli eventi tipizzati, in forma alternativa, dallanorma. La sola differenza della formulazione proposta rispetto a quellacontenuta nella direttiva consiste nell'omesso riferimento esplicito alrequisito d'illiceità speciale (" (ä) o in modo illecito")che, nel testo della norma europea, può caratterizzare la condotta. Tuttavia latipizzazione, nello schema di decreto, della condotta in forma libera,attraverso il riferimento alla possibilità di realizzazione anche in modoaccidentale, ricomprende al suo interno, a fortiori, sia pure implicitamente,anche il suddetto requisito d'illiceità speciale.

Con uno specifico articolo, il 32-bis – inseritoall'interno della sezione codicistica riservata alle misure di sicurezza - sonodisciplinati gli adempimenti cui il fornitore di servizi di comunicazioneelettronica accessibili al pubblico (e, per parte loro, i soggetti cuil'erogazione del servizio stesso sia, eventualmente, affidata) è tenuto, nelcaso in cui si verifichi una violazione di dati personali. Taliadempimenti consistono, essenzialmente, nella comunicazione dell'evento alGarante, al fine di consentirgli l'esercizio dei propri poteri a tutela degliinteressati.

Inoltre, qualora l'illecito rischi di "arrecare pregiudizio aidati personali o alla vita privata di un abbonato o di altra persona",il fornitore è tenuto a fornire idonea comunicazione anche a tali soggetti. Lasuddetta comunicazione può essere omessa nel caso in cui il fornitore dimostrial Garante di aver utilizzato (ed applicato ai dati oggetto della violazione)misure di protezione tali da rendere i dati inintelligibili a chi non siaautorizzato ad accedervi, potendo evidentemente presumersi che, in taleipotesi, il bene protetto dalla norma non sia stato leso e, dunque,l'interessato non abbia subito un danno.

L'omesso adempimento ai suddetti obblighi integra gli estremi di unillecito amministrativo, punito con sanzioni pecuniarie, differenziate nelquantum in ragione della rilevanza dell'obbligo inadempiuto ai fini dellaprotezione dei dati personali.

In attuazione del disposto di cui all'articolo 2, numero 5), delladirettiva, lo schema di decreto prevede inoltre – con una modificadell'articolo 122, comma 1, del Codice - che l'archiviazione di informazioninell'apparecchiatura terminale di un abbonato o di un utente o l'accesso ainformazioni già archiviate sono legittimi unicamente qualora l'abbonato ol'utente abbia espresso il proprio consenso, dopo essere stato informato. Sonoinvece consentiti l'eventuale archiviazione tecnica e l'accesso, qualora voltiunicamente ad effettuare la trasmissione di una comunicazione su una rete dicomunicazione elettronica, o nella misura strettamente necessaria al fornitoredi un servizio della società dell'informazione esplicitamente richiestodall'abbonato o dall'utente a erogare tale servizio.

Si introduce così, in questa materia, il regime dell'opt-in -che presuppone il previo consenso al trattamento dei dati - in luogo di quellodell'opt-out, che invece si fonda sulla manifestazione, da partedell'interessato, di un atto di rifiuto o di opposizione al trattamento.

RITENUTO

1. La definizione di"abbonato". L'articolo 1, comma 1, letteraa), n. 4 dello schema di decreto stabilisce che all'articolo 4, comma 2, lett.f), del Codice (che reca la definizione di "abbonato") il termine"abbonato" deve intendersi come "contraente", in coerenzacon la definizione contenuta nel decreto legislativo 1 agosto 2003 n. 259 (codicedelle comunicazioni elettroniche) come modificato dallo schema di decreto diattuazione delle direttive 2009/140/CE e 2009/136/CE. La modifica del nomendella definizione risulta proposta al fine di assicurarne la riferibilità adogni forma di "rapporto" del consumatore con il fornitore di unservizio di comunicazione elettronica, sul presupposto che il termine"abbonato" sia ormai un po' "datato" in quanto si riferiscesolo all'abbonamento al servizio e non ad altre forme di rapporto ormai moltopiù diffuse (si pensi, ad esempio, alle c.d. carte pre-pagate).

Come già rilevato dall'Ufficio del Garante nel corso dei lavori deltavolo tecnico, tale modifica non appare necessaria, posto che il contenutodella definizione –che comunque rimane inalterato - fa riferimento asoggetti "parte di un contratto" con il fornitore si servizi dicomunicazione elettronica. Inoltre, sopprimendo il termine "abbonato"se ne perderebbe l'efficacia evocativa, immediatamente associabile, nell'usocomune ormai radicato, allo specifico settore delle comunicazioni (a fronte diun termine, qual è "contraente", molto più ampio e generico).

Ciò posto, se, come sembra, il nomen della definizione vienemodificato nel codice delle comunicazioni elettroniche è opportuno che siamodificato anche nel Codice in materia di protezione dei dati personali che diquella definizione recepisce il contenuto.

Quanto alle modalità con cui apportare tale modifica, si richiamal'attenzione dell'Amministrazione sull'opportunità di ricorrere alla normaproposta nel presente schema (art. 1, comma 1, lettera a), n. 4) – cheappare, per lo più, di natura interpretativa – oppure ad una novellaespressa che sostituisca, ovunque ricorra nel Codice, la parola"abbonato" con la parola "contraente". Ove si acceda a taleultima soluzione, la parola "abbonato" dovrebbe essere sostituita conla parola "contraente" ovunque ricorra anche nell'odierno schema.

2. L'informativa all'abbonato eall'utente. L'articolo 1, comma 5, lettera a), delloschema reca modifiche all'articolo 122 del Codice che disciplina la raccolta diinformazioni nei riguardi dell'abbonato e dell'utente. Le modifiche apportate,come già anticipato sopra, mirano a dare piena attuazione alla direttiva2009/136/CE che, com'è noto, sul punto ha introdotto il principio dell'opt-in(consenso al trattamento) in luogo di quello dell'opt-out (rifiuto oopposizione al trattamento), richiedendo comunque che il consenso sia espressodall'interessato solo dopo che questi sia stato "informato in modochiaro e completo, a norma della direttiva 95/46/CE, tra l'altro sugli scopidel trattamento" (art. 5, par. 3, dir. 2002/58/CE, come modificatodalla direttiva 2009/136/CE) (al riguardo, peraltro, si ritiene opportunointegrare sul punto la relazione illustrativa allo schema di decreto, che nonfa alcun riferimento al "passaggio" dal sistema dell'opt-out a quellodell'opt-in). Opportunamente, quindi, già il vigente testo dell'articolo 122del Codice, come pure la proposta di modifica contenuta nello schema odierno,prevedono che l'interessato debba essere informato "ai sensi dell'articolo13" del Codice.

Senonché, nella versione dello schema trasmessa al Garante per ilparere, di seguito al riferimento all'articolo 13 è stata inserita la formula"in quanto applicabile".

Tale previsione non è in linea con il dettato della direttiva europea(e conseguentemente con l'impianto dello stesso Codice). Il dirittodell'abbonato (rectius: del contraente, d'ora in poi) e dell'utente adessere informati ai sensi della normativa in materia di protezione dei datipersonali è un diritto che deve essere assicurato nella sua pienezza, aprescindere da ogni valutazione di "applicabilità" o dicompatibilità.

Altra cosa è, semmai, individuare forme semplificate di informativa,che agevolino l'adempimento di tale obbligo da parte dei fornitori di servizidi comunicazione elettronica, per le quali lo stesso articolo 13 attribuisce alGarante specifica competenza "in particolare", ma non solo, perspecifici servizi telefonici (art. 13, comma 3, del Codice). L'Autorità,peraltro, ha già, in più occasioni, individuato forme semplificate diinformativa in diversi settori.

Tutto ciò premesso, quindi, si ritiene necessario che all'articolo 1,comma 5, lettera a), dello schema, le parole "ai sensi dell'articolo 13in quanto applicabile" siano sostituite dalle seguenti: ", conle modalità semplificate di cui all'articolo 13, comma 3".

Ovviamente, occorrerà adeguare al riguardo anche la relazioneillustrativa allo schema di decreto.

3. Modifiche formali. All'articolo1, comma 9, cpv. 3, riguardante una nuova sanzione introdotta dallo schema inattuazione della direttiva, per un mero refuso risulta citato il comma 6dell'articolo 32-bis del Codice in luogo del comma 7 del medesimo articolo. Lanorma va pertanto corretta nel senso indicato.

CONSIDERATO

4. Gli abbonati-persone giuridiche. Ilrecente decreto legge n. 201 del 2011, convertito, con modificazioni, dalla l.n. 214 del 2011 (c.d. "Salva-Italia"), nel quadro di un ampiointervento di riduzione degli adempimenti amministrativi per le imprese, haescluso dall'applicazione della normativa in materia di protezione dei datipersonali il trattamento dei dati relativo a persone giuridiche, enti oassociazioni (art. 40, comma 2, d.l. n. 201/2011). Così facendo, ha esentatotali soggetti da alcuni adempimenti che gravano sui titolari del trattamento,ma al tempo stesso li ha privati di molte garanzie e strumenti di tutela.

In effetti, sul punto la direttiva 95/46/CE aveva lasciato un'ampiadiscrezionalità agli Stati membri rimettendo ad essi la facoltà di estendere,in sede di recepimento, la portata applicativa delle norme in materia diprivacy anche alle persone giuridiche ovvero di limitarla esclusivamente aitrattamenti di dati delle sole persone fisiche. Il legislatore italiano del1996, con scelta confermata anche nel 2003 con il Codice in materia diprotezione dei dati personali (d.lg. n. 196 del 2003), aveva optato -com'è noto - per la prima soluzione.

Oggi, invece, a seguito delle modifiche richiamate, per dato personaledeve intendersi, anche in Italia, "qualunque informazione relativa apersona fisica, identificata o identificabile" e per interessatoesclusivamente "la persona fisica cui si riferiscono i datipersonali" (art. 4, comma 1, rispettivamente lett. b) e i) del Codice,nella sua nuova formulazione).

In definitiva, la portata applicativa di tutte le disposizioni delCodice che riguardano gli interessati ovvero il trattamento di dati personali èstata limitata in via esclusiva alle persone fisiche ed ai trattamenti diinformazioni personali ad esse relative.

Il legislatore del 2011 non ha, per altro verso, modificato altredisposizioni del Codice (Titolo X – Comunicazioni elettroniche) dedicateal trattamento di dati connesso alla fornitura di servizi di comunicazionielettronica e, in particolare, non ha modificato l'oggetto della definizione di"abbonato" a tali servizi di comunicazione elettronica, purecontenuta nel Codice, che risulta perciò tuttora applicabile tanto alle personefisiche quanto a quelle giuridiche (art. 4, comma 2, lett. f) del Codice).

La mancata esclusione delle persone giuridiche dalla nozione di"abbonato" si conforma del resto al quadro normativo europeo e, inparticolare, alla direttiva 2002/58/CE da cui quelle norme derivano; taledirettiva, infatti, precisa che "gli abbonati ad un servizio dicomunicazione elettronica accessibile al pubblico possono essere personefisiche o persone giuridiche" (considerando 12) e prevede "la tuteladei legittimi interessi degli abbonati che sono persone giuridiche"(art. 1, par. 2).

Pertanto, le persone giuridiche, gli enti e le associazioni, in quantoabbonati a un servizio di comunicazione elettronica, dovrebbero potercontinuare a fruire ancora delle garanzie previste dal titolo X del Codice.

Tale soluzione – la sola, del resto, conforme all'obbligo diinterpretazione adeguatrice del diritto interno rispetto al diritto dell'Unioneeuropea – non emerge tuttavia con chiarezza dal dato testuale delledisposizioni del Codice, posto che il titolo X riguarda comunque il trattamentodi "dati personali", con esclusione, dunque, dei dati relativi allepersone giuridiche, giusta la novella apportata dal decreto-legge n. 201 del2011 (art. 121 del Codice). Non solo, ma anche le tutele amministrative innanzial Garante continuano ad essere riconosciute solo agli "interessati",con esclusione, dunque, ancora una volta, a seguito della nuova definizione,delle persone giuridiche e degli altri soggetti assimilati (art. 141 delCodice).

In conclusione, questa Autorità ritiene che debba essere delineato conchiarezza il quadro normativo riferibile alla figura dell'abbonato-personagiuridica, in particolare per quanto riguarda le garanzie e le forme di tutelache si intendono riservare a questi soggetti (diritto di accesso a propri dati personali,diritto di opposizione, ecc.), tenuto conto della normativa europea.

L'occasione per un intervento normativo potrebbe essere rappresentataproprio dall'odierno schema di decreto legislativo che dà attuazione alladirettiva 2009/136/CE di modifica della direttiva 2002/58/CE, concernente,appunto, il trattamento dei dati personali nel settore delle comunicazionielettroniche.

A tal riguardo, a titolo di collaborazione, si segnala che lemodifiche potrebbero riguardare le nozioni stesse di "interessato" edi "dato personale", nelle quali far rientrare, limitatamente altrattamento dei dati nel settore delle comunicazioni elettroniche,rispettivamente, le persone giuridiche, gli enti ed associazioni in quanto"abbonati" ad un servizio di comunicazione elettronica, e i datirelativi a tali soggetti. Pertanto, nello schema di decreto si potrebbeintrodurre una norma del seguente tenore:

"All'articolo 4, comma 1, del codice in materia di protezione deidati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, esuccessive modificazioni, sono apportate le seguenti modifiche:

a) alla lettera b), le parole: "identificata oidentificabile", sono sostituite dalle seguenti: ", nonché,limitatamente al settore delle comunicazioni elettroniche, qualunqueinformazione relativa a persona giuridica, ente od associazione abbonati ad unservizio di comunicazione elettronica accessibile al pubblico, sempre che sitratti di soggetti identificabili o identificabili";

b) alla lettera i), sono aggiunte, in fine, le seguenti: ",nonché la persona giuridica, l'ente o l'associazione abbonati ad un servizio dicomunicazione elettronica accessibile al pubblico, limitatamente al trattamentodei dati nel settore delle comunicazioni elettroniche."

In alternativa, si potrebbe introdurre (nel titolo X del Codice) unanorma "generale" che chiarisca il regime normativo degliabbonati-persone giuridiche, specie per quanto riguarda le tutele e le garanziead esse spettanti.

IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recanteattuazione della direttiva 2009/136/CE del Parlamento europeo e del Consigliodel 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa alservizio universale e ai diritti degli utenti in materia di reti e di servizidi comunicazione elettronica, della direttiva 2002/58/CE relativa altrattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori, con le seguenti osservazioni:

a) all'articolo 1, comma 5, lettera a), dello schema, le parole: "aisensi dell'articolo 13 in quanto applicabile" siano sostituite dalleseguenti: ", con le modalità semplificate di cui all'articolo 13, comma3" (punto 2);

b) all'articolo 1, comma 9, cpv. 4, le parole: "32-bis,comma 6" siano sostituite dalle seguenti: "32-bis, comma7" (punto 3);

e con le seguenti raccomandazioni:

c) in relazione alla definizione di "abbonato", sirichiama l'attenzione dell'Amministrazione sull'opportunità di ricorrere allanorma proposta nel presente schema (art. 1, comma 1, lettera a), n. 4) oppuread una novella espressa che sostituisca, ovunque ricorra nel Codice, la parola"abbonato" con la parola "contraente" (punto 1);

d) si richiama l'attenzione dell'Amministrazione sull'opportunitàche sia delineato con chiarezza il quadro normativo riferibile alla figuradell'abbonato-persona giuridica, in particolare per quanto riguarda le garanziee le forme di tutela da riservare a questi soggetti, tenuto conto dellanormativa europea, con le modalità suggerite in premessa o con altre analoghe(punto 4).

Roma, 29 marzo 2012

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli