Secondo parere del Garante europeo della protezione dei dati sullarevisione della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Secondo parere del Garante europeodella protezione dei dati sulla revisione della direttiva 2002/58/CE relativaal trattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche
(direttiva relativa alla vita privata e alle comunicazioni elettroniche)

(Pubblicato sulla GUUE n. C 128 del6.6.2009)

IL GARANTE EUROPEO DELLA PROTEZIONE DEIDATI,

visto il trattato che istituisce la Comunità europea, inparticolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea,in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche conriguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati,

vista la direttiva 2002/58/CE del Parlamento europeo e delConsiglio, del 12 luglio 2002, relativa al trattamento dei dati personali ealla tutela della vita privata nel settore delle comunicazioni elettroniche,

visto il regolamento (CE) n. 45/2001 del Parlamento europeoe del Consiglio, del 18 dicembre 2000, concernente la tutela delle personefisiche in relazione al trattamento dei dati personali da parte delleistituzioni e degli organismi comunitari, nonché la libera circolazione di talidati, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

Contesto

1.Il 13 novembre 2007, la Commissione europea ha adottato una proposta chemodifica, tra l'altro, la direttiva relativa alla vita privata e alle comunicazionielettroniche, nota anche come direttiva e-privacy ^{( 1 )} (inprosieguo «proposta» o «proposta della Commissione»). Il 10 aprile 2008, ilGEPD ha adottato un parere sulla proposta della Commissione in cui fornivaraccomandazioni volte a migliorare la proposta nell'intento di contribuire adassicurare che le modifiche proposte si traducessero nella migliore possibileprotezione della vita privata e dei dati delle persone («primo parere delGEPD») ^{( 2} ⁾.

2. Il GEPD ha accolto favorevolmente la proposta dellaCommissione di istituire un sistema obbligatorio di notificazione delleviolazioni di sicurezza che obbliga le società a informare le persone qualora iloro dati personali siano stati compromessi. Ha inoltre elogiato la nuovadisposizione che permette alle persone giuridiche (per es. associazioni diconsumatori e fornitori di servizi Internet) di promuovere azioni giudiziariecontro i mittenti di comunicazioni commerciali indesiderate (spammer) in mododa integrare ulteriormente gli strumenti esistenti di lotta alle comunicazioniindesiderati.

3. Durante il dibattito parlamentare che ha preceduto laprima lettura del Parlamento europeo, il GEPD ha formulato un ulteriore parereformulando osservazioni su quesiti specifici emersi nelle relazioni redattedalle commissioni del Parlamento europeo competenti per la revisione delledirettive servizio universale ^{( 3 )} e e-privacy («Osservazioni») ⁽⁴ ⁾. Le osservazioni riguardavano in primo luogo problemiconnessi al trattamento di dati relativi al traffico e la protezione deidiritti di proprietà intellettuale.

4. Il 24 settembre 2008, il Parlamento europeo («PE») haadottato una risoluzione legislativa sulla direttiva e-privacy («primalettura») ^{( 5} ⁾. Il GEPD ha valutato positivamente variemendamenti del PE che sono stati adottati in seguito al parere del GEPD e alleosservazioni succitate. Tra le importanti modifiche figura l'inclusione deifornitori di servizi della società dell'informazione (ossia le imprese operantiin Internet) nell'ambito di applicazione dell'obbligo di notificare leviolazioni di sicurezza. Il GEPD ha anche accolto favorevolmente l'emendamentoche consente alle persone giuridiche e fisiche di promuovere azioni giudiziariein caso di violazione di qualsiasi disposizione della direttiva e-privacy (nonsolo in caso di violazione delle disposizioni in materia di spam come propostoinizialmente nella proposta della Commissione). La prima lettura del Parlamentoè stata seguita dall'adozione da parte della Commissione di una proposta che modificala direttiva e-privacy (in prosieguo «proposta modificata») ^{( 6} ⁾.

5. Il 27 novembre 2008 il Consiglio ha raggiunto un accordopolitico su un riesame delle norme sul pacchetto telecomunicazioni, compresa ladirettiva e-privacy, destinato a diventare la posizione comune del Consiglio(«posizione comune») ^{( 7} ⁾. La posizione comune sarànotificata al PE ai sensi dell'articolo 251, paragrafo 2 del trattato cheistituisce la Comunità europea, il che può comportare la proposta diemendamenti da parte del PE. Parere generale sulla posizione del Consiglio

6.Il Consiglio ha modificato elementi essenziali del testo della proposta e nonha accettato molti degli emendamenti adottati dal PE. È vero che la posizionecomune contiene certamente elementi positivi, ma nell'insieme il GEPD èpreoccupato per il suo contenuto, in particolare poiché la posizione comune nontiene conto di alcuni degli emendamenti positivi proposti dal PE, dellaproposta modificata o dei pareri del GEPD e delle autorità europee preposte allaprotezione dei dati emessi tramite il gruppo dell'articolo 29 ^{( 8} ⁾.

7. Al contrario, in alcuni casi le disposizioni dellaproposta modificata e degli emendamenti del PE che prevedono garanzie per icittadini sono state soppresse o indebolite in modo sostanziale. Ne risulta unasostanziale riduzione del livello di protezione offerto alle persone nellaposizione comune. Ciò ha indotto il GEPD a emettere un secondo parere, nellasperanza che nel corso del processo legislativo sulla direttiva e-privacy sianoadottati nuovi emendamenti che ripristinino le garanzie in materia diprotezione dei dati.

8. Questo secondo parere è incentrato su alcunepreoccupazioni essenziali e non riprende tutti i punti sollevati nel primoparere del GEPD o nelle osservazioni, che rimangono tutti validi. Il presenteparere riguarda in particolare i punti seguenti: — le disposizionirelative alla notifica delle violazioni di sicurezza; — la portatadell'applicazione della direttiva e-privacy alle reti private e alle retiprivate accessibili al pubblico; — il trattamento dei dati relativi altraffico a fini di sicurezza; — la possibilità offerta alle personegiuridiche di promuovere azioni giudiziarie in caso di violazione delladirettiva e-privacy.

9. Nell'affrontare le tematiche succitate, il presenteparere analizza la posizione comune del Consiglio e la confronta con la primalettura del PE e la proposta modificata della Commissione. Il parere contieneraccomandazioni intese a semplificare le disposizioni della direttiva e-privacye ad assicurare che la direttiva continui a protegge adeguatamente la vitaprivata e i dati personali.

II. LE DISPOSIZIONI RELATIVE ALLANOTIFICAZIONE DI VIOLAZIONI DI SICUREZZA

10. Il GEPD sostiene l'adozione di un sistema dinotificazione delle violazioni di sicurezza in base al quale alle autorità ealle persone viene data comunicazione qualora i loro dati personali siano staticompromessi ^{( 9} ⁾. Le comunicazioni relative a violazionidi sicurezza possono aiutare le persone ad adottare le necessarie misure perattenuare qualsiasi danno potenziale risultante dalla compromissione dei dati.L'obbligo di inviare comunicazioni su violazioni di sicurezza incoraggeràinoltre le società a migliorare la sicurezza dei dati e ad aumentare la lororesponsabilità riguardo ai dati personali di cui sono responsabili.

11. La proposta modificata della Commissione, la primalettura del Parlamento e la posizione comune del Consiglio presentano treapprocci diversi alla notifica di violazioni di sicurezza attualmente all'esame.Ciascuno dei tre approcci ha aspetti positivi. Il GEPD ritiene tuttavia che visiano possibilità di miglioramento in ciascuno di essi e consiglia di prenderein considerazione le raccomandazioni descritte in appresso nell'esame dellefasi finali in vista dell'adozione di un sistema riguardante le violazioni disicurezza.

12. Nell'analisi dei tresistemi di notificazione di violazioni di sicurezza, vanno presi inconsiderazione cinque punti fondamentali: i) la definizione di violazione di sicurezza;ii) i soggetticontemplati dall'obbligo di notifica («soggetti contemplati»); iii) il criterio che dà luogo all'obbligo dinotificazione; iv) l'individuazionedel soggetto competente per determinare se una violazione di sicurezza soddisfao non soddisfa il criterio e v) i destinatari dell'informazione. Panoramicadegli approcci della Commissione, del Consiglio e del Parlamento

13. Il Parlamento europeo, laCommissione e il Consiglio hanno adottato differenti approcci per lanotificazione di violazioni di sicurezza La prima lettura del PE ha modificatoil sistema originario di notificazione di violazioni di sicurezza previstodalla proposta della Commissione ^{( 10} ⁾. In baseall'approccio del PE l'obbligo di notificazione non si applica solo aifornitori di servizi di comunicazione elettronica accessibili al pubblico maanche ai fornitori di servizi della società dell'informazione («PPECS» e«ISSP»). Inoltre, in base a questo approccio tutte le violazioni di datipersonali dovrebbero essere notificate all'autorità nazionale diregolamentazione o alle autorità competenti (insieme «autorità»). Se dovesserodeterminare che la violazione è grave, le autorità competenti richiederebbero ai PPECS e agliISSP di notificare senza indugio la violazione alle persone che ne sonointeressate. In caso di violazioni che rappresentano un pericolo imminente ediretto, i PPECS e gli ISSP informerebbero le persone prima di informare leautorità e non attenderebbero una determinazione normativa. Un'eccezioneall'obbligo di informare i consumatori si applica ai soggetti che possonodimostrare alle autorità che sono state applicate appropriate misure diprotezione tecnica atte a rendere i dati incomprensibili a chiunque non siaautorizzato ad accedervi.

14. Anche in base all'approcciodel Consiglio, la notificazione deve essere fornita sia agli abbonati che alleautorità, ma solo qualora il soggetto contemplato ritenga che la violazionecostituisca un rischio grave per la vita privata dell'abbonato (ossia furto ousurpazione d'identità, danno fisico, umiliazione grave o danno allareputazione).

15. La proposta modificatadella Commissione mantiene l'obbligo proposto dal PE di notificare alleautorità tutte le violazioni. Tuttavia, a differenza dell'approccio delParlamento, la proposta modificata contiene una deroga all'obbligo dellanotificazione per quanto riguarda le persone interessate qualora il PPECSdimostri all'autorità competente che i) «è ragionevolmente improbabile» che la violazione comporti una lesione(ad esempio danni economici e sociali o furti di identità) o ii) ai dati interessati dalla violazione sonostate applicate «opportune misure di protezione tecnologica». L'approccio della Commissione includepertanto un'analisi basata sui danni in collegamento con le singole notifiche.

16. È importante notare chein base agli approcci del Parlamento ^{( 11 )} e della Commissione sonole autorità ad essere in definitiva incaricate di determinare se la violazionesia grave o vi sia una probabilità ragionevole che causi danni. Secondol'approccio del Consiglio la decisione è invece rimessa ai soggettiinteressati.

17. Sia l'approccio delConsiglio che quello della Commissione si applicano soltanto ai PPECS e non,come l'approccio del Parlamento, agli ISSP. La definizione di violazione disicurezza

18. Il GEPD è lieto diconstatare che le tre proposte legislative contengono la stessa definizione dinotifica della violazione di sicurezza descritta come «violazione disicurezza che comporta accidentalmente o in modo illecito la distruzione, laperdita, la modifica, la rivelazione non autorizzata o l'accesso ai datipersonali trasmessi, memorizzati o comunque elaborati […]» ^{( 12} ⁾.

19. Come descritto meglio inappresso, questa definizione è accolta favorevolmente in quanto abbastanza generaleper abbracciare la maggior parte delle situazioni pertinenti in cui lanotificazione di violazioni di sicurezza può essere giustificata.

20. In primo luogo, nelladefinizione rientrano casi in cui si sia verificato un accesso non autorizzatoai dati personali da parte di terzi, quali la penetrazione in un servercontenente dati personali e l'estrazione di tali informazioni.

21. In secondo luogo, ladefinizione includerebbe anche situazioni in cui si sia verificata la perdita,o la rivelazione di dati personali, anche se l'accesso non autorizzato non èancora stato dimostrato. Vi rientrerebbero situazioni in cui i dati personalipossono essere stati smarriti (per es. CD ROM, chiavi USB o altri dispositiviportatili), o resi disponibili al pubblico da utenti regolari (file di dati suidipendenti resi inavvertitamente e temporaneamente disponibili in uno spazioaccessibile al pubblico via Internet). Poiché spesso non sarà possibile provareche in un determinato momento è o non è possibile che terzi non autorizzatiaccedano a tali dati o li utilizzino, sembra appropriato includere questefattispecie nell'ambito della definizione. Il GEPD raccomanda pertanto dimantenere questa definizione. Raccomanda anche di includere la definizione diviolazione di sicurezza all'articolo 2 della direttiva e-privacy in quanto ciòsarebbe più coerente con la struttura generale della direttiva e fornirebbemaggiore chiarezza.

Soggetti ai quali dovrebbeessere imposto l'obbligo della notificazione

22. In base all'approccio del PE,l'obbligo di notificazione si applica sia ai PPECS che agli ISSP. Tuttavia,secondo i regimi previsti dal Consiglio e dalla Commissione, solo PPECS qualile società di telecomunicazione e i fornitori di accesso a Internet sarannoobbligati a informare le persone qualora subiscano violazioni di sicurezza checomportano la compromissione di dati personali. Altri settori di attività, peresempio le banche in linea, i rivenditori in linea, i fornitori di servizisanitari in linea e altri non sono vincolati da questo obbligo. Per i motivisuccitati, il GEPD ritiene che dal punto di vista dell'interesse pubblico siafondamentale assicurare che anche i servizi della società dell'informazione cheincludono il commercio in linea, le banche in linea, i fornitori di servizisanitari in linea ecc. siano soggetti all'obbligo di notificazione.

23. In primo luogo, il GEPDrileva che benché le società di telecomunicazione siano certamente oggetto diviolazioni di sicurezza che giustificano un obbligo di notificazione, lo stessovale per altri tipi di società/fornitori. Anche i rivenditori in linea, lebanche in linea, le farmacie in linea possono subire violazioni di sicurezzaalla stessa stregua delle società di telecomunicazione, se non in misuramaggiore. Pertanto, considerato il rischio, non è opportuno limitare ai PPECSl'obbligo di notificazione di una violazione. L'esigenza di un approccio piùampio è corroborato dalle esperienze acquisite in altri paesi. Per esempio,negli Stati Uniti quasi tutti gli Stati (attualmente oltre 40) hanno varatoleggi sulla notificazione di violazioni di sicurezza che hanno un campod'applicazione più ampio, che comprende non solo i PPECS ma qualsiasi soggettoche detiene i dati personali richiesti.

24. In secondo luogo, se unaviolazione dei tipi di dati personali regolarmente trattati dai PPECS puòchiaramente incidere sulla vita privata di una persona, lo stesso vale, forse amaggior ragione, per i tipi di informazioni trattate dagli ISSP. Certamente lebanche e altri istituti finanziari possono essere in possesso di informazionialtamente riservate (per es. dettagli di conti bancari), la cui divulgazionepuò dar luogo a un uso a fini di usurpazione dell'identità. Anche ladivulgazione di informazioni assai sensibili attinenti alla salute da parte diservizi sanitari in linea può essere particolarmente dannosa per le persone.Pertanto, anche i tipi di dati personali che possono essere compromessirichiedono una più ampia applicazione della notificazione di violazione disicurezza che includerebbe, come minimo, gli ISSP.

25. Sono stati sollevatialcuni problemi di natura giuridica riguardo all'ampliamento del campod'applicazione di questo articolo, ossia i soggetti contemplati dall'obbligo inquestione. In particolare il fatto che il campo d'applicazione generale delladirettiva e-privacy riguardi solo i PPECS è stato addotto come ostacoloall'applicazione dell'obbligo di notificare anche agli ISSP.

26. In questo contesto ilGEPD tiene a ricordare quanto segue: i) non esiste nessun tipo di ostacolo all'inclusione di attoridiversi dai PPECS nel campo di applicazione di determinate disposizioni delladirettiva. Il legislatore comunitario dispone di un potere discrezionaleillimitato a tale riguardo; ii) nella vigente direttiva e-privacy esistono altri precedenti diapplicazione a soggetti diversi dai PPECS.

27. Per esempio, l'articolo13 si applica non solo ai PPECS ma a qualsiasi società che invia comunicazioninon richieste, prescrivendo un consenso «opt-in» preliminare a tal fine.Inoltre, l'articolo 5, paragrafo 3 della direttiva e-privacy che vieta, tral'altro, la memorizzazione di informazioni quali cookie nei terminali degliutenti è vincolante non solo per i PPECS ma anche per chiunque tenti dimemorizzare informazioni o ottenere l'accesso alle informazioni memorizzatenell'apparecchiatura terminale delle persone. Per giunta, nel processolegislativo in corso, la Commissione ha addirittura proposto di estenderel'applicazione dell'articolo 5, paragrafo 3 ai casi in cui tecnologie analoghe(cookie/software spia) siano forniti non solo tramite sistemi di comunicazioneelettronica ma anche tramite qualsiasi altro metodo possibile (distribuzioneattraverso software provenienti da Internet oppure attraverso supporti esterniper la memorizzazione dei dati, quali CD-ROM, chiavi USB, unità flash ecc.).Tutti questi elementi sono positivi e dovrebbero essere mantenuti, ma anchecostituire precedenti per l'attuale discussione sul campo d'applicazione.

28. Inoltre, nell'attualeprocesso legislativo, la Commissione e il PE e presumibilmente il Consigliohanno proposto un nuovo articolo 6, paragrafo 6, lettera a) discusso inappresso, che si applica a soggetti diversi dai PPECS.

29. Infine, tenuto contodegli elementi generalmente positivi derivanti dall'obbligo di notificareviolazioni di sicurezza, è molto probabile che i cittadini si aspettino questivantaggi non solo qualora i loro dati personali siano stati compromessi daPPECS ma anche qualora ciò sia avvenuto ad opera di ISSP. Le attese deicittadini potrebbero essere deluse se, ad esempio, non venissero informatiqualora una banca in linea abbia smarrito le informazioni sul loro contobancario.

30. In definitiva, il GEPD èconvinto che la notificazione di violazioni di sicurezza potrà produrre tutti isuoi effetti positivi solo se i soggetti contemplati comprenderanno sia i PPECSche gli ISSP.

Il criterio che dà luogo alla notificazione

31. Per quanto riguarda l'attivazione della notificazione,come spiegato dettagliatamente in appresso, il GEPD ritiene che il criteriodella proposta modificata «ragionevolmente probabile che possa ledere» sia il più appropriato dei tre criteriproposti. Tuttavia, è importante far sì che il concetto di «ledere» siasufficientemente ampio da contemplare tutte le pertinenti fattispecie dieffetti negativi sulla vita privata o su altri interessi legittimi dellepersone. Altrimenti sarebbe preferibile introdurre un nuovo criterio in base alquale la notificazione sarebbe obbligatoria «se vi è una probabilitàragionevole che la violazione produca effetti negativi per le persone».

32. Come accennato nella sezione precedente, le condizionialle quali deve essere data comunicazione alle persone (denominati«attivazione» e «criterio») sono diversi nell'ambito degli approcci del PE,della Commissione e del Consiglio. È ovvio che la quantità delle comunicazioniche le persone riceveranno dipenderà, in larga misura, dall'attivazione o dalcriterio fissati per la notificazione.

33. In base all'approccio del Consiglio e della Commissione,la notificazione deve essere effettuata se la violazione costituisce una «graveviolazione della vita privata dell'abbonato» (Consiglio) e se «èragionevolmente probabile che la violazione possa ledere gli interessi delconsumatore» In baseall'approccio del PE, l'attivazione per la notificazione alle persone è datadalla «gravità della violazione» (ossia la notifica alle persone è richiesta sela violazione è considerata «grave»). Al di sotto di tale soglia non ènecessaria la notificazione ^{( 13 )}

34. Il GEPD comprende che si può sostenere che, se sonostati compromessi dati personali, le persone ai quali appartengono i dati hannoil diritto di venirne a conoscenza in qualsiasi circostanza. Ma è correttoponderare se ciò sia una soluzione appropriata alla luce di altri interessi econsiderazioni.

35. È stato affermato che l'obbligo di inviare comunicazioniogniqualvolta siano stati compromessi dati personali, in altre parole senzalimitazioni, può comportare un eccesso di notificazioni e «stanchezza dacomunicazioni» il che potrebbe tradursi in desensibilizzazione. Come precisatoin appresso, il GEPD è sensibile a questo argomento; tuttavia tiene asottolineare la sua preoccupazione per il fatto che l'eccesso di notificazioniè un possibile indicatore di diffuse carenze nelle prassi in materia disicurezza dell'informazione.

36. Come indicato in precedenza, il GEPD ravvisa potenzialiconseguenze negative nell'eccesso di notificazioni e desidera contribuire adassicurare che il quadro giuridico adottato per la notificazione di violazionidi sicurezza non produca questo risultato. Se le persone dovessero riceverefrequenti comunicazioni di violazione anche in situazioni in cui non vi sonoeffetti negativi, danni o pericoli, può andare a finire che venga messo arepentaglio uno degli obiettivi fondamentali della comunicazione in quanto,paradossalmente, le persone potrebbero ignorare comunicazioni in casi in cuipotrebbero effettivamente dover intervenire per proteggersi. È quindi importantetrovare un giusto equilibrio nel fornire comunicazioni sensate poiché, se lepersone non reagiscono alle comunicazioni ricevute, l'efficacia dei sistemi dinotificazione è fortemente ridotta.

37. Al fine di adottare un criterio appropriato che non portia un eccesso di notificazioni, vanno esaminati, oltre all'attivazione dellacomunicazione, altri fattori, in particolare la definizione di violazione disicurezza e l'informazione oggetto dell'obbligo di notificazione. A taleriguardo il GEPD rileva che in base ai tre approcci proposti, è possibile avereuna gran quantità di notificazioni tenuto conto dell'ampia definizione diviolazione di sicurezza succitata. Questa preoccupazione per un eccesso dinotificazioni è ulteriormente sottolineata dal fatto che la definizione diviolazione di sicurezza si applica a tutti i tipi di dati personali. Benché ilGEPD ritenga che questo sia l'approccio corretto (che non limita i tipi di datipersonali soggetti a notificazione), contrariamente ad altri approcci quali leleggi USA in cui i requisiti sono incentrai sulla sensibilitàdell'informazione, si tratta comunque di un fattore di cui tener conto.

38. Alla luce di quanto indicato sopra e tenendo conto dellediverse variabili esaminate nel loro insieme, il GEPD ritiene appropriatoincludere una soglia o criterio al di sotto del quale la notificazione non èobbligatoria.

39. I criteri proposti secondo cui la violazione deverappresentare un «rischio grave per la vita privata» o è «ragionevolmente probabile chepossa ledere» sembranoentrambi includere, per esempio, danni sociali, alla reputazione o economici.Per esempio questi criteri riguarderebbero casi di esposizione a usurpazionedell'identità mediante la divulgazione di identificatori non pubblici quali inumeri di passaporto, nonché la rivelazione di informazioni sulla vita privatadi una persona. Il GEPD è favorevole a questa impostazione. È convinto che nonsarebbero realizzati tutti i possibili effetti positivi della notificazione diviolazioni di sicurezza se il sistema di notificazione contemplasse solo leviolazioni che comportano danni economici.

40. Tra i due criteriproposti, il GEPD preferisce il criterio proposto dalla Commissione «ragionevolmenteprobabile che possa ledere»in quanto offrirebbe un livello più appropriato di protezione delle persone. Èmolto più probabile che le violazioni giustifichino una notificazione qualorasia «ragionevolmente probabile che possano ledere» la vita privata delle persone chequalora presentino «un grave rischio» di lesione. Pertanto, contemplando solo le violazioni chepresentano un grave rischio per la vita privata delle persone si limiterebbeconsiderevolmente il numero delle violazioni che devono essere notificate.Contemplando solo questo genere di violazioni si conferirebbe ai PPECS e agliISSP un potere discrezionale smodato per quanto riguarda la necessità diemettere una notificazione, in quanto sarebbe molto più facile per lorogiustificare la conclusione secondo cui non esiste «nessun rischio grave» che la conclusione secondo cui è «ragionevolmenteimprobabile che si verifichi» una lesione. È vero che occorre comunque evitare un eccesso dinotifiche, ma in compenso deve essere concesso il beneficio del dubbio al finedi proteggere l'interesse delle persone alla loro vita privata e il limiteminimo per la protezione delle persone è dato dal momento in cui èragionevolmente probabile che una violazione causi loro dei danni. Inoltre itermini «ragionevolmente probabile» saranno più efficaci nell'applicazione pratica, sia per isoggetti contemplati che per le autorità competenti, in quanto richiedono unavalutazione oggettiva del caso e del relativo contesto.

41. Le violazioni riguardantidati personali possono inoltre creare danni che sono difficilmente quantificabilie possono essere di diversa natura. Infatti, la divulgazione dello stesso tipodi dati può, a seconda delle circostanze specifiche, provocare dannisignificativi a una persona e minori a un'altra. Non sarebbe appropriato uncriterio secondo cui il danno deve essere materiale, significativo o grave. Peresempio, l'approccio del Consiglio secondo cui la violazione deve pregiudicare gravementela vita privata di unapersona, fornirebbe una protezione inadeguata ai singoli nella misura in cuitale criterio richiede che l'effetto sulla vita privata sia «grave». Ciò dàaltresì adito a una valutazione soggettiva.

42. Mentre, comeprecedentemente descritto, il criterio: «ragionevolmente probabile che possaledere» sembra essereappropriato per la notificazione di violazione di sicurezza, il GEPD continua anutrire la preoccupazione che esso non possa includere tutte le situazioni incui è giustificata una comunicazione alle persone, ossia tutte le situazioni incui vi è una probabilità ragionevole di effetti negativi sulla vita privata osu altri interessi legittimi delle persone. Per tale motivo potrebbe esserepreso in considerazione un criterio che darebbe luogo alla notificazione «sevi è una probabilità ragionevole che la violazione produca effetti negativi perle persone».

43. Questo criterioalternativo presenta l'ulteriore vantaggio della conformità alla normativadell'UE in materia di protezione dei dati. In effetti, la direttiva sullatutela dei dati fa spesso riferimento ad effetti negativi sui diritti e lelibertà degli interessati. Per esempio, l'articolo 18 e il considerando 49, cheriguardano l'obbligo di registrare le operazioni di trattamento dei dati pressole autorità preposte alla protezione dei dati, autorizzano gli Stati membri aderogare a tale obbligo qualora i trattamenti non siano «tali da recarepregiudizio ai diritti e alle libertà delle persone interessate» Termini analoghi figurano all'articolo16, paragrafo 6 della posizione comune che autorizza le persone giuridiche apromuovere azioni giudiziarie contro coloro che inviano messaggi di postaelettronica indesiderata (spammer).

44. Inoltre, tenendo conto diquanto precede, ci si aspetterebbe anche che i soggetti contemplati e inparticolare le autorità competenti a mettere in atto la normativa in materia diprotezione dei dati avessero maggiore familiarità con il criterio suddetto,facilitando in tal modo la valutazione se una determinata violazione soddisfiil criterio previsto. Soggetto competente per determinare se una violazionedi sicurezza soddisfa o non soddisfa il criterio

45. In base all'approccio del PE (fattaeccezione per i casi di pericolo imminente) e alla proposta modificata dellaCommissione, spetta alle autorità degli Stati membri determinare se unaviolazione di sicurezza soddisfi il criterio di attivazione dell'obbligo dinotificazione agli interessati.

46. Il GEPD ritiene che ilcoinvolgimento di un'autorità svolga un ruolo importante nel determinare se uncriterio è soddisfatto in quanto ciò è, in una certa misura, una garanzia perla corretta applicazione della legge. Questo sistema può impedire che lesocietà, in modo inappropriato, considerino la violazione non lesiva/graveevitando in tal modo la notificazione allorché, in effetti, tale notificazioneè necessaria.

47. D'altro canto, il GEPDnutre preoccupazione per il fatto che un regime secondo il quale le autoritàsono incaricate di effettuare la valutazione può essere poco pratico e didifficile applicazione, o può nella prassi rivelarsi controproducente. Può addiritturadiminuire le garanzie in materia di protezione dei dati per le persone.

48. Infatti, in base a taleapproccio le autorità preposte alla protezione dei dati verranno probabilmenteinondate da notificazioni di violazioni di sicurezza e potranno incontraregravi difficoltà nell'effettuare le necessarie valutazioni. È importantericordare che per valutare se una violazione soddisfa il criterio previsto, leautorità dovranno disporre di sufficienti informazioni interne, spesso dinatura tecnica complessa, che dovranno trattare molto rapidamente. Tenendoconto della difficoltà di valutazione e del fatto che alcune autoritàdispongono di risorse limitate, il GEPD teme che sarà assai difficile per leautorità adempiere a questo obbligo e che saranno loro sottratte risorsenecessarie per altre priorità importanti. Inoltre, tale sistema può esercitareun'indebita pressione sulle autorità; in effetti, se esse decidono che laviolazione non è grave e ciò nonostante le persone subiscono dei danni, leautorità potrebbero essere ritenute responsabili.

49. Questa difficoltà è ulteriormenteevidenziata se si tiene conto del fatto che il tempo è un fattore determinantenel ridurre al minimo i rischi derivanti da violazioni di sicurezza. A meno chele autorità siano in grado di effettuare la valutazione entro un lasso di tempoassai breve, l'ulteriore tempo richiesto affinché le autorità possanoeffettuare tali valutazioni può aumentare i danni subiti dagli interessati.Pertanto, questo intervento aggiuntivo che è inteso a fornire una maggioreprotezione alle persone può, paradossalmente, tradursi in una minore protezionerispetto ai sistemi basati sulla notificazione diretta.

50. Per i motivi succitati, il GEPDritiene che sia preferibile istituire un sistema secondo il quale spetterebbeai soggetti interessati valutare se la violazione soddisfi o non soddisfi ilpertinente criterio, come previsto nell'approccio del Consiglio.

51. Tuttavia, per evitare rischi dipossibili abusi, per esempio da parte di soggetti che rifiutano lanotificazione in circostanze in cui essa è chiaramente dovuta, è estremamenteimportante includere determinate garanzie in materia di protezione dei dati chesono descritte in appresso

52. In primo luogo, l'obbligo imposto aisoggetti contemplati di determinare se devono effettuare la notificazione deveevidentemente essere accompagnato da un altro obbligo relativo allanotificazione obbligatoria alle autorità di tutte le violazioni che soddisfanoil criterio stabilito. I soggetti interessati dovrebbero in questi casi essereobbligati a informare le autorità della violazione e dei motivi della lorodecisione riguardante la notificazione nonché del contenuto di tutte lenotificazioni effettuate.

53. In secondo luogo, alle autorità deveessere conferito un effettivo ruolo di supervisione. Nell'esercitare questoruolo, le autorità devono avere la facoltà, ma non l'obbligo, di indagare sullecircostanze della violazione e imporre qualsiasi misura necessaria per porvirimedio ^{( 14 )}. Ciò dovrebbeincludere non solo la comunicazione alle persone (se non ha già avuto luogo) maanche la facoltà di imporre l'obbligo di intervenire per impedire ulterioriviolazioni. Alle autorità dovrebbero essere attribuiti effettivi poteri erisorse a tale riguardo nonché il necessario margine di discrezionalità perdecidere quando reagire a una notificazione riguardante una violazione disicurezza. In altre parole, ciò consentirebbe alle autorità di essere selettiveed effettuare indagini su, per esempio, violazioni di sicurezza di vastaportata e veramente dannose, verificando e imponendo l'ottemperanza a quantoprescrive la legge.

54. Per conseguire l'obiettivo succitato,in aggiunta ai poteri conferiti dalla direttiva e-privacy nonché dall'articolo15 bis, paragrafo 3 e dalla direttiva sulla tutela dei dati, il GEPD raccomandadi inserire il testo seguente: «Se l'abbonato o il singolo interessato nonha ancora ricevuto la notificazione, le autorità nazionali competenti,considerata la natura della violazione, possono chiedere ai PPECS o agli ISSPdi provvedere alla notificazione».

55. Il GEPD raccomanda inoltre al PE e alConsiglio di confermare l'obbligo proposto dal PE (emendamento 122, articolo 4,paragrafo 1, lettera a) che i soggetti effettuino una valutazione e identificazionedei rischi riguardo ai loro sistemi e ai dati personali che intendono trattare.In base a questo obbligo, i soggetti dovrebbero elaborare una definizioneadeguata e accurata delle misure di sicurezza che saranno applicate nei casiche li riguardano, che dovrebbe essere a disposizione delle autorità. In casodi violazione di sicurezza, questo obbligo aiuterà i soggetti contemplati— e in definitiva anche le autorità nell'espletamento della loro funzionedi supervisione — a determinare se la compromissione di tali informazionipuò provocare effetti negativi o danni alle persone.

56. In terzo luogo, l'obbligo imposto aisoggetti contemplati di determinare se devono effettuare notificazioni allepersone deve essere accompagnato da un obbligo di mantenere piste di controllointerno dettagliate e globali con la descrizione di tutte le violazioniverificatesi e di tutte le relative notificazioni nonché di tutte le misureprese per evitare future violazioni. Queste piste di controllo interno devonoessere a disposizione delle autorità per l'esame e le eventuali indagini. Ciòconsentirà alle autorità di espletare le loro funzioni di supervisione. Ciòpotrebbe essere conseguito con l'adozione di un testo del tenore seguente: «IPPECS e gli ISSP effettuano e conservano una registrazione completa edettagliata di tutte le violazioni di sicurezza occorse, delle pertinentiinformazioni tecniche ad esse collegate e delle misure adottate per porvirimedio. I registri contengono altresì un riferimento a tutte le notificazionieffettuate agli abbonati o ai singoli interessati nonché alle autoritànazionali competenti, inclusi le relative date e il relativo contenuto. Iregistri sono prodotti all'autorità nazionale competente a sua richiesta».

57. Naturalmente, al fine di assicurarela coerenza nell'attuazione di questa norma nonché di altri aspetti pertinentidel quadro relativo alla violazione di sicurezza, come il formato e laprocedura per la notificazione, è opportuno che la Commissione adotti misuretecniche di attuazione, previa consultazione del GEPD, del Gruppo dell'articolo29 e di altri pertinenti soggetti interessati.

Destinatari della notificazione

58. Per quanto riguarda i destinatari delle comunicazioni, il GEPDpreferisce il testo del PE e della Commissione a quello del Consiglio. Ineffetti il PE ha sostituito la parola «abbonati» con la parola «utenti». LaCommissione usa «abbonati» e «singoli interessati». Sia il testo del PE chequello della Commissione includerebbero come destinatari delle comunicazioni nonsolo gli abbonati ma anche precedenti abbonati e terzi, quali gli utenti cheinteragiscono con determinati soggetti contemplati senza avere un abbonamento.Il GEPD accoglie favorevolmente questo approccio e invita il PE e il Consiglioa mantenerlo.

59. Tuttavia, il GEPD rileva alcune incoerenze terminologiche nellaprima lettura del PE che andrebbero rimosse. Per esempio, la parola «abbonati»è stata sostituita nella maggior parte dei casi, ma non sempre, con la parola«utenti», in altri casi con «consumatori». In questi casi è necessariaun'armonizzazione.

III. CAMPO DI APPLICAZIONE DELLA DIRETTIVA E-PRIVACY:RETI PUBBLICHE E PRIVATE

60. L'articolo 3, paragrafo 1 della vigente direttiva e-privacydetermina i soggetti principalmente interessati dalla direttiva, ossia coloroche effettuano il trattamento dei dati «connesso alla» fornitura di servizi pubblici di comunicazioneelettronica su reti pubbliche (sopra indicati come «PPECS») ^{( 15} ⁾.Tra gli esempi delle attività dei PPECS figurano la fornitura di accesso aInternet, la trasmissione di informazioni attraverso reti elettroniche, leconnessioni telefoniche fisse e mobili, ecc.

61. Il Parlamento europeo ha votato l'emendamento 121 che modifical'articolo 3 della proposta iniziale della Commissione, in base al quale ilcampo di applicazione della direttiva e-privacy è stato ampliato al fine diincludere «il trattamento dei dati personali connesso alla fornitura diservizi di comunicazione elettronica accessibili al pubblico su reti dicomunicazione pubbliche e private e su reti private accessibili al pubbliconella Comunità, […]» (art. 3,paragrafo 1 della direttiva e-privacy). Purtroppo il Consiglio e la Commissionehanno avuto difficoltà ad accettare questo emendamento e non hanno pertantointegrato tale approccio nella posizione comune e nella proposta modificata. Applicazionedella direttiva e-privacy alle reti private accessibili al pubblico

62. Per i motiviillustrati in appresso e al fine di contribuire a promuovere un consenso, ilGEPD invita a preservare la sostanza dell'emendamento 121. Inoltre, il GEPDsuggerisce di includere un emendamento che contribuisca a precisareulteriormente i tipi di servizi che rientrerebbero nel campo di applicazioneampliato.

63. Le reti private sono spesso utilizzate per fornire servizi dicomunicazione elettronica quali l'accesso a Internet a un numero indeterminatodi persone, potenzialmente elevato. Ciò si verifica ad esempio per l'accesso aInternet negli Internet café come pure nei punti Wi-Fi disponibili in alberghi,ristoranti, aeroporti, treni e in altri stabilimenti aperti al pubblico, ovesiffatti servizi sono spesso forniti a complemento di altri servizi (bevande,alloggio, ecc.).

64. In tutti i summenzionati casi, un servizio di comunicazione, adesempio l'accesso a Internet, è messo a disposizione del pubblico nonattraverso una rete pubblica bensì attraverso quella che può essere consideratauna rete privata, ossia una rete gestita privatamente. Inoltre, sebbene neicasi succitati il servizio di comunicazione sia fornito al pubblico, poiché iltipo di rete utilizzato è privato anziché pubblico, si può sostenere che la fornitura di tali servizi non è contemplatadall'intera direttiva e-privacy o almeno da alcuni dei suoi articoli ^{( 16} ⁾.Conseguentemente, i diritti fondamentali dei singoli garantiti dalla direttivae-privacy non sono protetti in tali casi e si crea una situazione giuridica disquilibrio tra gli utenti che accedono ai medesimi servizi Internet attraversomezzi di telecomunicazione pubblici e gli utenti che vi accedono attraversomezzi di telecomunicazione privati. Ciò si verifica nonostante il livello dirischio per la tutela della vita privata e dei dati personali in tutti questicasi sia pari a quello connesso all'utilizzo di reti pubbliche per latrasmissione del servizio. In sintesi, non sembra esistere una giustificazione razionaleper un trattamento differenziato, aisensi della direttiva, dei servizi di comunicazione forniti tramite una reteprivata rispetto a quelli forniti tramite una rete pubblica.

65. Pertanto il GEPD sarebbe favorevole ad un emendamento, qualel'emendamento 121 del PE, secondo cui la direttiva e-privacy si applicherebbeparimenti al trattamento dei dati personali connesso alla fornitura di servizidi comunicazione elettronica accessibili al pubblico su reti di comunicazione private.

66. Il GEPD riconosce tuttavia che una siffatta formulazione potrebbecomportare conseguenze imprevedibili ed eventualmente non volute. In realtà, ilsemplice riferimento alle reti private potrebbe essere interpretato come taleda contemplare situazioni che chiaramente non si intende contemplare nelladirettiva. Ad esempio, si potrebbe affermare che un'interpretazione letterale origorosa di tale formulazione potrebbe far rientrare nel campo di applicazionedella direttiva i proprietari di case dotate di tecnologia Wi-Fi ^{( 17} ⁾,che consente la connessione a chiunque si trovi entro il suo raggio d'azione(che comprende solitamente la casa), benché non sia questo il propositodell'emendamento 121. Al fine di evitare tale risultato, il GEPD suggerisce diriformulare l'emendamento 121 facendo rientrare nel campo di applicazione delladirettiva e-privacy «il trattamento dei dati personali connesso allafornitura di servizi di comunicazione elettronica accessibili al pubblico sureti di comunicazione pubbliche o private accessibili al pubblico nellaComunità,…».

67. Ciò contribuirebbe a chiarire che solo le reti private accessibilial pubblico sarebbero contemplate dalla direttiva e-privacy. Applicando ledisposizioni della direttiva e-privacy unicamente alle reti private accessibili al pubblico (e non a tutte le reti private) si stabilisce unlimite, di modo che la direttiva contempli soltanto i servizi di comunicazioneforniti su reti private che sono intenzionalmente resi accessibili al pubblico. Tale formulazione contribuirà asottolineare ulteriormente che la disponibilità delle reti private per i membri del grandepubblico costituisce il fattoreessenziale per determinare se queste ultime sarebbero contemplate dalladirettiva (oltre alla fornitura di un servizio di comunicazione accessibile alpubblico). In altri termini, a prescindere dal fatto che la rete sia pubblica oprivata, se la rete è intenzionalmente resa disponibile al pubblico al fine difornire un servizio pubblico di comunicazione, quale l'accesso a Internet,anche se tale servizio è complementare a un altro servizio (ad es. lasistemazione alberghiera), questo tipo di servizio/rete rientrerà nel campo diapplicazione della direttiva e-privacy.

68. Il GEPD rileva che l'approccio sopra caldeggiato, secondo il qualele disposizioni della direttiva e-privacy si applicano alle reti privateaccessibili al pubblico, è coerentecon le impostazioni adottate in diversi Stati membri, le cui autorità hanno giàconsiderato che tale tipo di servizi come pure i servizi forniti su retiesclusivamente private rientrino nel campo di applicazione delle disposizioninazionali di attuazione della direttiva e-privacy ⁽¹⁸ ⁾.

69. Ai fini di una maggiore certezza del diritto in merito ai soggettirientranti nel nuovo campo di applicazione, potrebbe essere utile includerenella direttiva e-privacy una modifica che definisca le «reti privateaccessibili al pubblico», del seguente tenore: «“rete privata accessibile alpubblico”: una rete gestita privatamente alla quale i membri del grandepubblico hanno di norma accesso senza restrizioni, a pagamento o gratuitamenteo in connessione con altri servizi o offerte, fatta salva l'accettazione dellecondizioni e modalità applicabili.»

70. In pratica, secondo l'approccio sopra indicato le reti private neglialberghi ed altri stabilimenti che forniscono l'accesso a Internet al grandepubblico tramite una rete privata rientrerebbero nel campo di applicazione. Percontro, la fornitura di servizi di comunicazione su reti esclusivamenteprivate, ove il servizio è limitato a un gruppo ristretto di personeidentificabili, non sarebbe contemplata. Pertanto, ad esempio, le reti privatevirtuali e le case di consumatori dotate di tecnologia Wi-Fi non sarebberocontemplate dalla direttiva. Neppure i servizi forniti tramite retiesclusivamente d'impresa sarebbero contemplati. Reti private rientranti nelcampo di applicazione della direttiva e-privacy

71. L'esclusione dellereti private in quanto tali sopra suggerita dovrebbe essere considerata unamisura provvisoria, da discutere ulteriormente. In realtà, in considerazione,da un lato, delle implicazioni in materia di tutela della vita privataderivanti dall'esclusione delle reti puramente private e, d'altro lato, delfatto che tale esclusione interessa un gran numero di persone che accedonoabitualmente ad Internet tramite reti d'impresa, tale questione dovrà forseessere riesaminata in futuro. Per questo motivo, e al fine di incentivare ildibattito su tale argomento, il GEPD raccomanda di includere nella direttivae-privacy un considerando secondo cui la Commissione effettuerà unaconsultazione pubblica sull'applicazione della direttiva e-privacy a tutte lereti private, con il contributo del GEPD, delle autorità preposte allaprotezione dei dati e di altri pertinenti soggetti interessati. Inoltre, ilconsiderando potrebbe precisare che, a seguito della consultazione pubblica, laCommissione dovrebbe presentare proposte appropriate per estendere o limitare itipi di soggetti che dovrebbe essere contemplati dalla direttiva e-privacy.

72. A complemento di quanto sopra indicato, i diversi articoli delladirettiva e-privacy dovrebbero essere modificati di conseguenza, di modo chetutte le disposizioni operative menzionino esplicitamente le reti privatedisponibili al pubblico oltre alle reti pubbliche.

IV. TRATTAMENTO DEI DATIRELATIVI AL TRAFFICO A FINI DI SICUREZZA

73. Durante l'iter legislativo relativoal riesame della direttiva e-privacy, le società fornitrici di servizi disicurezza hanno ribadito la necessità di introdurre nella suddetta direttivauna disposizione intesa a legittimare la raccolta di dati relativi al trafficoal fine di garantire un'effettiva sicurezza in linea.

74. Di conseguenza, il PE ha introdottol'emendamento 181, che ha creato un nuovo articolo 6, paragrafo 6 bis, cheautorizza esplicitamente il trattamento di dati relativi al traffico a fini disicurezza: «Senza pregiudizio per il rispetto delle disposizioni diversedall'articolo 7 della direttiva 95/46/CE e dall'articolo 5 della presentedirettiva, i dati possono essere trattati per il legittimo interesse delresponsabile del trattamento al fine di applicare misure tecniche intese agarantire la sicurezza della rete e dell'informazione, quali definitiall'articolo 4, lettera c) del regolamento (CE) n. 460/2004 del Parlamentoeuropeo e del Consiglio, del 10 marzo 2004, che istituisce l'Agenzia europeaper la sicurezza delle reti e dell'informazione, di un servizio pubblico dicomunicazione elettronica, una rete pubblica o privata di comunicazionielettroniche, un servizio della società dell'informazione o relativo terminal edispositivo elettronico di comunicazione, salvo ove su tali interessiprevalgano gli interessi per i diritti e le libertà fondamentali della personainteressata. Tale trattamento deve limitarsi allo stretto necessario ai fini ditale attività di sicurezza.»

75. La Commissione, nella sua proposta modificata, ha accettato taleemendamento in linea di principio ma, eliminando la clausola che recita: «Senzapregiudizio […] della presente direttiva», ha eliminato una clausola fondamentale, intesa ad assicurare ilrispetto delle altre disposizioni della direttiva. Il Consiglio ha adottato unaversione riformulata, che si è spinta ancora oltre nell'affievolire gliimportanti elementi di protezione e di equilibrio degli interessi che eranoparte integrante dell'emendamento 181, adottando la seguente formulazione: «Idati relativi al traffico possono essere trattati nella misura strettamentenecessaria […] ai fini della sicurezza delle reti e dell'informazione, qualedefinita all'articolo 4, lettera c) del regolamento (CE) n. 460/2004 delParlamento europeo e del Consiglio, del 10 marzo 2004, che istituisce l'Agenziaeuropea per la sicurezza delle reti e dell'informazione».

76. Come ulteriormente precisato in appresso, l'articolo 6, paragrafo 6bis è superfluo e soggetto al rischio di abuso, in particolare se adottato inuna formulazione che non includa le importanti garanzie, le clausole cheassicurino il rispetto delle altre disposizioni della direttiva e l'equilibriodegli interessi. Pertanto il GEPD raccomanda di respingere tale articolo oquanto meno di provvedere a che qualsiasi articolo siffatto in materiacomprenda i tipi di garanzie inclusi nell'emendamento 181 adottato dal PE. Motivazionigiuridiche del trattamento dei dati relativi al traffico applicabili ai servizidi comunicazione elettronica e ad altri responsabili del trattamento ai sensidella vigente normativa sulla protezione dei dati

77. La misura in cui ifornitori di servizi di comunicazione elettronica accessibili al pubblicopossono legalmente trattare i dati relativi al traffico è disciplinata a normadell'articolo 6 della direttiva e-privacy, che limita il trattamento dei datirelativi al traffico ad una serie circoscritta di finalità quali lafatturazione, l'interconnessione e la commercializzazione. Tale trattamento puòaver luogo soltanto fatte salve determinate condizioni, quali il consenso dellepersone interessate nel caso della commercializzazione. Inoltre, altriresponsabili del trattamento quali i fornitori di servizi della societàdell'informazione possono trattare i dati relativi al traffico a normadell'articolo 7 della direttiva sulla tutela dei dati, che stabilisce che iresponsabili del trattamento possono effettuare il trattamento di datipersonali se soddisfano almeno una delle basi giuridiche elencate, menzionateanche come motivazioni giuridiche.

78. Un esempio di siffatte basi giuridiche è costituito dall'articolo 7,lettera a), della direttiva sulla tutela dei dati, che richiede il consensodella persona interessata. Ad esempio, se un rivenditore in linea intendetrattare dati relativi al traffico al fine di pubblicizzare o commercializzaredel materiale, deve ottenere il consenso della persona interessata. Un'altrabase giuridica stabilita all'articolo 7 può consentire, in taluni casi, iltrattamento di dati relativi al traffico a fini di sicurezza, ad esempio da partedelle società di sicurezza che forniscono servizi di sicurezza. Tale facoltà sibasa sull'articolo 7, lettera f), che stabilisce che i responsabili deltrattamento possono effettuare il trattamento di dati personali se ciò è «necessarioper il perseguimento dell'interesse legittimo del responsabile del trattamentooppure del o dei terzi cui vengono comunicati i dati, a condizione che nonprevalgano l'interesse o i diritti e le libertà fondamentali della personainteressata …». La direttiva sullatutela dei dati non specifica i casi in cui il trattamento di dati personalisarebbe tale da soddisfare detto requisito. Per contro, le decisioni sonoadottate dai responsabili del trattamento, caso per caso, spesso con l'accordodelle autorità nazionali preposte alla protezione dei dati e di altre autorità.

79. Si dovrebbe esaminare l'interazione tra l'articolo 7 della direttivasulla tutela dei dati e il proposto articolo 6, paragrafo 6 bis della direttivae-privacy. Il proposto articolo 6, paragrafo 6 bis specifica le circostanze incui i requisiti dell'articolo 7, lettera f) di cui sopra sarebbero soddisfatti.In effetti, autorizzando il trattamento di dati relativi al traffico al fine dicontribuire a garantire la sicurezza delle reti e delle informazioni, l'articolo6, paragrafo 6 bis autorizza tale trattamento per il perseguimentodell'interesse legittimo del responsabile del trattamento.

80. Come ulteriormente precisato in appresso, il GEPD ritiene che ilproposto articolo 6, paragrafo 6 bis non sia né necessario né utile. Ineffetti, dal punto di vista giuridico, è in linea di principio superfluostabilire se un particolare tipo di attività di trattamento di dati, nellafattispecie il trattamento di dati relativi al traffico a fini di sicurezza,soddisfi o meno i requisiti di cui all'articolo 7, lettera f) della direttivasulla tutela dei dati, nel qual caso può essere necessario il consenso dellapersona interessata ai sensi dell'articolo 7, lettera a). Come sopra rilevato,tale valutazione è solitamente effettuata dai responsabili del trattamento,ossia le società, in sede di attuazione, in consultazione con le autoritàpreposte alla protezione dei dati e, ove necessario, dagli organigiurisdizionali. In generale, il GEPD ritiene probabile che, in casi specifici,il legittimo trattamento dei dati relativi al traffico a fini di sicurezza,effettuato senza pregiudicare i diritti e le libertà fondamentali dellepersone, soddisfi i requisiti di cui all'articolo 7, lettera f) della direttivasulla tutela dei dati e possa pertanto essere effettuato. Inoltre, non esistonoprecedenti nell'ambito della direttiva sulla tutela dei dati e della direttivae-privacy per operare una distinzione o riservare un trattamento speciale adeterminati tipi di attività di trattamento di dati che soddisferebbero irequisiti di cui all'articolo 7, lettera f), e non è stata dimostrata lanecessità di una siffatta eccezione. Per contro, come sopra rilevato, risultache in numerosi casi questo tipo di attività sarebbe ampiamente in linea con iltesto attuale. Pertanto una disposizione giuridica che confermi talevalutazione è in linea di principio superflua. Formulazioni dell'articolo 6,paragrafo 6 bis elaborate dal PE, dal Consiglio e dalla Commissione

81. Come sopra precisato,è importante sottolineare che, benché superfluo, l'emendamento 181 qualeadottato dal PE è stato nondimeno redatto, tenendo conto in certa misura deiprincipi relativi alla vita privata e alla protezione dei dati sanciti nellalegislazione sulla protezione dei dati. L'emendamento 181 del PE avrebbe potutotener maggiormente conto delle preoccupazioni concernenti la protezione deidati e la vita privata, ad esempio inserendo l'espressione «in casi specifici»al fine di assicurare l'applicazione selettiva dell'articolo in questione oprevedendo un periodo specifico di conservazione.

82. L'emendamento 181 contiene alcuni elementi positivi. Esso confermache il trattamento dovrebbe ottemperare ad ogni altro principio in materia diprotezione dei dati applicabile al trattamento dei dati personali («Senzapregiudizio per il rispetto delle disposizioni […] della direttiva 95/46/CE e[…] della presente direttiva»).Inoltre l'emendamento 181, benché autorizzi il trattamento dei dati relativi altraffico a fini di sicurezza, raggiunge un equilibrio tra gli interessi delsoggetto che effettua il trattamento dei dati relativi al traffico e quellidelle persone i cui dati sono oggetto di trattamento, cosicché tale trattamentodi dati può aver luogo soltanto se gli interessi del soggetto che effettua iltrattamento dei dati non prevalgono sugli interessi per i diritti e le libertàfondamentali della persona interessata («salvo ove su tali interessiprevalgano gli interessi per i diritti e le libertà fondamentali della personainteressata»). Tale requisito èessenziale in quanto può permettere il trattamento dei dati relativi altraffico in casi specifici, ma non consentirebbe ad un soggetto di effettuareil trattamento dei dati relativi al traffico alla rinfusa.

83. La versione dell'emendamento riformulata dal Consiglio contieneelementi apprezzabili, quali l'inserimento dei termini «strettamentenecessaria», che sottolineano ilcampo di applicazione limitato dell'articolo in questione. Tuttavia, laversione del Consiglio elimina le garanzie concernenti la protezione dei dati ela vita privata sopra menzionate. Sebbene in linea di principio si applichinole disposizioni generali in materia di protezione dei dati, a prescindere dallapresenza di un riferimento specifico in ogni singolo caso, la versionedell'articolo 6, paragrafo 6 bis formulata dal Consiglio può nondimeno essereinterpretata come tale da conferire pieno potere discrezionale di effettuare iltrattamento dei dati relativi al traffico senza essere soggetti alle garanzieconcernenti la protezione dei dati e la vita privata che si applicano in casodi trattamento di dati relativi al traffico. Si potrebbe pertanto sostenere chei dati relativi al traffico possono essere raccolti, memorizzati eulteriormente utilizzati senza dover ottemperare ai principi e agli obblighispecifici in materia di protezione dei dati che si applicano altrimenti aisoggetti responsabili, come il principio di qualità o l'obbligo di effettuareun trattamento in modo corretto e lecito e di garantire la riservatezza e lasicurezza dei dati. Inoltre, poiché l'articolo non contiene alcun riferimentoai principi applicabili in materia di protezione dei dati che impongono limititemporali alla conservazione delle informazioni o a termini specifici, laversione del Consiglio può essere interpretata come tale da consentire laraccolta e il trattamento dei dati relativi al traffico a fini di sicurezza perun periodo indeterminato di tempo.

84. Inoltre, il Consiglio ha indebolito la protezione della vita privatain talune parti del testo estendendo potenzialmente la formulazione. Adesempio, il riferimento al «legittimo interesse del responsabile deltrattamento» è stato soppresso,suscitando dubbi in merito ai tipi di soggetti che potrebbero avvalersi di taleeccezione. È estremamente importante evitare di favorire la possibilità chequalsiasi utente o soggetto giuridico tragga vantaggio da tale modifica.

85. Le recenti esperienze nell'ambito del PE e del Consiglio dimostranoche è difficile definire mediante norme giuridiche la misura e le condizioni incui il trattamento dei dati a fini di sicurezza può essere effettuatolegalmente. È improbabile che qualsiasi articolo esistente o futuro elimini gliovvi rischi di un'applicazione troppo estesa dell'eccezione per motivi diversida quelli esclusivamente correlati alla sicurezza o da parte di soggetti chenon dovrebbero poter beneficiare dell'eccezione. Ciò non significa che taletrattamento non possa aver luogo in ogni caso. Tuttavia, la possibilità dieffettuare il trattamento e l'entità di quest'ultimo possono meglio esserevalutate a livello di attuazione. I soggetti che intendono intraprendere taletrattamento dovrebbero discuterne la portata e le condizioni con le autoritàpreposte alla protezione dei dati ed eventualmente con il Gruppo dell'articolo29. Alternativamente, la direttiva e-privacy potrebbe includere un articolo cheautorizzi il trattamento dei dati relativi al traffico a fini di sicurezza,fatta salva l'esplicita autorizzazione delle autorità preposte alla protezionedei dati.

86. Tenendo conto, da un lato, dei rischi che l'articolo 6, paragrafo 6bis presenta per il diritto fondamentale alla protezione dei dati e alla vitaprivata delle persone e, d'altro lato, del fatto che, come precisato nelpresente parere, dal punto di vista giuridico tale articolo è superfluo, ilGEPD è giunto alla conclusione che la migliore soluzione consisterebbe nellacompleta soppressione del proposto articolo 6, paragrafo 6 bis.

87. Nel caso in cui, in contrasto con la raccomandazione del GEPD, vengaadottato un testo sulla falsariga dell'attuale versione dell'articolo 6,paragrafo 6 bis, detto testo dovrebbe comunque contenere le garanzie in materiadi protezione dei dati sopra discusse. Esso dovrebbe altresì essere opportunamenteintegrato nell'attuale struttura dell'articolo 6, preferibilmente come nuovoparagrafo 2 bis.

V. LA POSSIBILITÀ OFFERTAALLE PERSONE GIURIDICHE DI PROMUOVERE AZIONI GIUDIZIARIE IN CASO DI VIOLAZIONEDELLA DIRETTIVA E-PRIVACY

88. Il PE ha votato l'emendamento 133 che offre la possibilità aifornitori di accesso a Internet ed altre persone giuridiche quali leassociazioni di consumatori di promuovere un'azione giudiziaria contro leviolazioni di una delle disposizioni della direttiva e-privacy ^{( 19} ⁾.Purtroppo, né la Commissione né il Consiglio hanno accettato l'emendamento. IlGEPD ritiene tale emendamento molto positivo e ne raccomanda il mantenimento.

89. Per comprendere l'importanza di detto emendamento, occorre rendersiconto del fatto che, nel settore della protezione della vita privata e deidati, il danno inflitto ad una persona considerata singolarmente non ègeneralmente sufficiente di per sé a giustificare la promozione di azionigiudiziarie da parte della persona interessata. Le persone di norma nonadiscono un tribunale per conto proprio perché sono state vittime di spam o illoro nome è stato erroneamente inserito in un elenco. L'emendamento inquestione consentirebbe alle associazioni di consumatori e ai sindacati cherappresentano gli interessi dei consumatori a livello collettivo di promuovereazioni giudiziarie per loro conto dinanzi a un organo giurisdizionale.Probabilmente, inoltre, una maggiore varietà di meccanismi di controllofavorirebbe un più ampio grado di osservanza e sarebbe pertanto nell'interessedi un'efficace applicazione delle disposizioni della direttiva e-privacy.

90. Esistono precedenti giuridici nei quadri normativi di alcuni Statimembri che prevedono già la possibilità di un'azione collettiva intesa apermettere ai consumatori o ai gruppi di interesse di chiedere un risarcimentoalla parte che ha cagionato il danno.

91. Inoltre, il diritto della concorrenza di alcuni Stati membri ^{( 20)} autorizza i consumatori, i gruppi di interesse (oltre al concorrenteleso) ad adire le vie legali avversoil soggetto responsabile della violazione. La motivazione soggiacente a taleapproccio consiste nel fatto che è probabile che le società che agiscono inviolazione del diritto della concorrenza ne traggano vantaggio, poiché i consumatoriche subiscono solo danni marginali sono di norma riluttanti ad adire le vielegali. Tale motivazione può applicarsi mutatis mutandis in materia di protezione dei dati e di vita privata.

92. Elemento più importante, come sopra menzionato, è il fatto che,autorizzando le persone giuridiche quali le associazioni di consumatori e iPPECS ad adire le vie legali, si favorisce la posizione dei consumatori e sipromuove la generale osservanza della normativa sulla protezione dei dati. Sele società responsabili di violazioni incorrono in un rischio più elevato diessere oggetto di un'azione giudiziaria, è probabile che investano maggiormentenell'osservanza della normativa sulla protezione dei dati, con conseguenteaumento a lungo termine del livello di protezione della vita privata e deiconsumatori. Per tutti questi motivi il GEPD invita il PE e il Consiglio adadottare una disposizione che consenta alle persone giuridiche di promuovereun'azione giudiziaria contro le violazioni di una delle disposizioni delladirettiva e-privacy.

VI. CONCLUSIONI

93. La posizione comune del Consiglio, la prima lettura del PE e laproposta modificata della Commissione contengono, in diversa misura, elementipositivi che servirebbero a rafforzare la protezione della vita privata e deidati personali.

94. Tuttavia, il GEPD ritiene che vi sia un margine di miglioramento, inparticolare per quanto riguarda la posizione comune del Consiglio che,purtroppo, non ha mantenuto alcuni degli emendamenti del PE intesi acontribuire ad assicurare un'adeguata protezione della vita privata e dei datipersonali. Il GEPD esorta il PE e il Consiglio a ripristinare le garanzie inmateria di vita privata incorporate nella prima lettura del PE.

95. Inoltre, il GEPD ritiene sia opportuno procedere ad unasemplificazione di alcune disposizioni della direttiva. Ciò vale in particolarenel caso delle disposizioni in materia di violazioni di sicurezza, in quanto ilGEPD ritiene che i vantaggi della notificazione di violazione siconcretizzeranno in maniera ottimale se il quadro giuridico è stabilitocorrettamente sin dall'inizio. Infine, il GEPD ritiene sia opportuno miglioraree chiarire la formulazione di alcune disposizioni della direttiva.

96. Alla luce di quanto precede, il GEPD esorta il PE e il Consiglio adintensificare gli sforzi al fine di migliorare e chiarire alcune disposizionidella direttiva e-privacy, ripristinando nel contempo gli emendamenti adottatidal PE in prima lettura e volti a garantire un livello appropriato diprotezione della vita privata e dei dati. A tal fine, nei successivi punti 97,98, 99 e 100 sono sintetizzate le problematiche in questione e sono formulateraccomandazioni e proposte redazionali. Il GEPD invita tutte le partiinteressate a tenerne conto in quanto la direttiva e-privacy si avvia verso lafase dell'adozione definitiva. Violazione di sicurezza

97. Il Parlamento europeo, la Commissione e il Consiglio hanno adottatoapprocci differenti per quanto riguarda la notificazione di violazioni disicurezza. Le differenze tra i tre modelli riguardano segnatamente i soggetticontemplati dall'obbligo, il criterio o l'elemento di attivazione dellanotificazione, gli interessati autorizzati a ricevere la notificazione, ecc. Ènecessario che il PE e il Consiglio facciano tutto il possibile per produrre unquadro giuridico solido per quanto riguarda la violazione di sicurezza. A talfine, il PE e il Consiglio dovrebbero:

— mantenere la definizione di violazione di sicurezza nei testidel PE, del Consiglio e della Commissione, in quanto essa è abbastanza generaleper abbracciare la maggior parte delle pertinenti situazioni in cui lanotificazione di violazioni di sicurezza potrebbe essere giustificata;

— per quanto riguarda la portatadei soggetti cui si deve applicare il proposto obbligo di notificazione, includerei fornitori di servizi della societàdell'informazione. Anche i rivenditori in linea, le banche in linea e lefarmacie in linea possono subire violazioni di sicurezza alla stessa streguadelle società di telecomunicazione, se non in misura maggiore. I cittadini siattenderanno di ricevere una notificazione non soltanto quando i fornitoridell'accesso a Internet subiscono violazioni di sicurezza ma in particolarequando ciò accade alle loro banche in linea e farmacie in linea.

— Per quanto riguarda l'attivazionedella notificazione, il criterio previsto dalla proposta modificata «ragionevolmenteprobabile che possa ledere» è uncriterio appropriato che assicura la funzionalità del sistema. Tuttavia, èimportante far sì che il concetto di «ledere» sia sufficientemente ampio dacontemplare tutte le pertinenti fattispecie di effetti negativi sulla vitaprivata o su altri interessi legittimi delle persone. Altrimenti, sarebbepreferibile introdurre un nuovo criterio in base al quale la notificazionesarebbe obbligatoria «se vi è una probabilità ragionevole che la violazioneproduca effetti negativi per le persone». L'approccio del Consiglio, secondo cui la violazione devepregiudicare gravemente la vitaprivata di una persona, fornirebbe una protezione inadeguata ai singoli nellamisura in cui tale criterio richiede che l'effetto sulla vita privata sia«grave». Ciò dà altresì adito a una valutazione soggettiva.

— Benché il coinvolgimento diun'autorità nel determinare se un soggetto interessato debba effettuare lanotificazione alle persone abbia certamente effetti positivi, può risultare didifficile realizzazione e applicazione e può inoltre sottrarre risorse ad altreimportanti priorità. Se le autorità non possono reagire con estrema rapidità,il GEPD teme che tale sistema possa perfino ridurre la protezione delle personeed esercitare un'indebita pressione sulle autorità. Quindi, tutto considerato,il GEPD consiglia di creare unsistema in cui competa ai soggetti interessati valutare se essi debbanoprocedere alla notificazione.

— Al fine di consentire alleautorità di esercitare una supervisione sulle valutazioni effettuate daisoggetti contemplati in merito all'opportunità di effettuare una notificazione,il PE e il Consiglio dovrebbero porre in atto le garanzie seguenti:

— provvedere affinché tali soggetti siano obbligati a notificarealle autorità tutte le violazioni che soddisfano il criterio prescritto;— affidare alle autorità unruolo di supervisione, che consenta loro di essere selettive per poter essereefficaci. A tal fine, occorre aggiungere il seguente testo: «Se l'abbonato oil singolo interessato non ha ancora ricevuto la notificazione, le autoritànazionali competenti, considerata la natura della violazione, possono chiedereai PPECS o agli ISSP di provvedere alla notificazione»;

— adottare una nuova disposizione che prescriva ai soggettiinteressati di mantenere piste di controllo interno dettagliate e globali. Ciòpotrebbe essere conseguito con l'adozione del seguente testo: «I PPECS e gliISSP effettuano e conservano una registrazione completa e dettagliata di tuttele violazioni di sicurezza occorse, delle pertinenti informazioni tecniche adesse correlate e delle misure adottate per porvi rimedio. I registri contengonoaltresì un riferimento a tutte le notificazioni effettuate agli abbonati o aisingoli interessati nonché alle autorità nazionali competenti, inclusi lerelative date e il relativo contenuto. I registri sono prodotti all'autoritànazionale competente a sua richiesta».

— Al fine di assicurare la coerenzanell'attuazione del quadro relativo alla violazione di sicurezza, il PE e ilConsiglio dovrebbero attribuire allaCommissione la facoltà di adottare misure tecniche di attuazione, previaconsultazione del GEPD, del Gruppo dell'articolo 29 e di altri pertinentisoggetti interessati.

— Per quanto riguarda i singoli cuideve essere effettuata la notificazione, si dovrebbero utilizzare i termini della Commissione o del PE «singoliinteressati» o «utenti interessati» in quanto includono tutte le persone i cuidati personali sono stati compromessi.

Reti private accessibili al pubblico

98. I servizi di comunicazione sonospesso messi a disposizione del pubblico non attraverso reti pubbliche bensìattraverso reti gestite privatamente (ad es. punti Wi-Fi disponibili inalberghi e aeroporti), presumibilmente non contemplate dalla direttiva. Il PEha adottato l'emendamento 121 (articolo 3) che amplia il campo di applicazionedella direttiva per includervi le reti di comunicazione pubbliche e privatenonché le reti private accessibili al pubblico. A tal fine, il PE e ilConsiglio dovrebbero:

— mantenere la sostanza dell'emendamento 121, ma riformularlo facendo rientrare nel campo di applicazione delladirettiva e-privacy «il trattamento dei dati personali connesso allafornitura di servizi di comunicazione elettronica accessibili al pubblico sureti di comunicazione pubbliche o private accessibili al pubblico nellaComunità». Le reti gestite a livelloesclusivamente privato (a differenza delle reti private accessibili alpubblico) non sarebbero espressamente contemplate;

— modificare di conseguenza tutte le disposizioni operative permenzionare esplicitamente le reti private accessibili al pubblico oltre allereti pubbliche;

— includere una modifica contenente la seguente definizione: «“reteprivata accessibile al pubblico”: una rete gestita privatamente alla quale imembri del grande pubblico hanno di norma accesso senza restrizioni, apagamento o gratuitamente o in connessione con altri servizi o offerte, fattasalva l'accettazione delle condizioni e modalità applicabili». Ciò assicurerà una maggiore certezza del dirittoper quanto riguarda i soggetti rientranti nel nuovo campo di applicazione;

— adottare un nuovo considerando, secondo cui la Commissionedovrebbe effettuare una consultazione pubblica sull'applicazione delladirettiva e-privacy a tutte le reti private, con il contributo del GEPD, delGruppo dell'articolo 29 e di altri pertinenti soggetti interessati. Occorrerebbeprecisare che, a seguito della consultazione pubblica, la Commissione dovrebbepresentare proposte appropriate per estendere o limitare i tipi di soggetti chedovrebbero essere contemplati dalla direttiva e-privacy. Trattamento deidati relativi al traffico a fini di sicurezza

99. Il PE ha adottato in prima lettural'emendamento 181 (articolo 6, paragrafo 6 bis), che autorizza il trattamentodei dati relativi al traffico a fini di sicurezza. Il Consiglio, nella suaposizione comune, ha adottato una nuova versione che affievolisce alcune dellagaranzie in materia di vita privata. Al riguardo, il GEPD raccomanda che il PEe il Consiglio:

— respingano tale articolo nella sua totalità in quanto superfluoe, se oggetto di abuso, tale da poter indebitamente minacciare la protezionedei dati e la vita privata delle persone;

— alternativamente, se dovesseessere adottata una qualche variante dell'articolo 6, paragrafo 6 bis, incorporinole garanzie in materia di protezionedei dati discusse nel presente parere (analoghe a quelle previstedall'emendamento del PE).

Azioni giudiziarie in caso diviolazione della direttiva e-privacy

100. Il Parlamento ha adottatol'emendamento 133 (articolo 13, paragrafo 6) che attribuisce alle personegiuridiche la facoltà di promuovere un'azione giudiziaria contro le violazionidi una qualsiasi disposizione della direttiva. Purtroppo il Consiglio non haaccolto tale emendamento. Il Consiglio e il PE dovrebbero:

— approvare la disposizione che consente alle persone giuridiche,quali le associazioni di consumatori e di categoria, di promuovere azionigiudiziarie in caso di violazione di qualsiasi disposizione della direttiva(non solo in caso di violazione delle disposizioni in materia di spam, secondol'attuale approccio della posizione comune e della proposta modificata). Unamaggiore varietà di meccanismi di controllo favorirà un più ampio grado diosservanza e un'applicazione più efficace delle disposizioni della direttivae-privacy nel suo insieme. Raccogliere la sfida

101. In relazione a tutte lesummenzionate questioni, il PE e il Consiglio devono raccogliere la sfidadell'elaborazione di norme e disposizioni adeguate, che siano attuabili efunzionali e rispettino il diritto alla protezione dei dati personali e dellavita privata delle persone. Il GEPD auspica che le parti interessate faccianotutto il possibile per raccogliere tale sfida e spera che il presente parerecontribuisca a tal fine.

Fatto a Bruxelles, il 9 gennaio 2009.

Peter HUSTINX

Garante europeodella protezione dei dati

NOTE
( 1 ) La revisione della direttiva e-privacy è parte di un più ampio processodi riesame inteso alla creazione di un'autorità per le telecomunicazioni alivello di UE, al riesame delle direttive 2002/21/EC, 2002/19/EC, 2002/20/EC,2002/22/EC e 2002/58/EC, nonché al riesame del regolamento (CE) n. 2006/2004(in appresso «riesame del pacchetto telecomunicazioni» per l'insieme deglistrumenti giuridici).

( 2 ) Parere del 10 aprile 2008 sullaproposta di direttiva recante modifica, tra l'altro, della direttiva 2002/58/CErelativa al trattamento dei dati personali e alla tutela della vita privata nelsettore delle comunicazioni elettroniche (direttiva relativa alla vita privatae alle comunicazioni elettroniche) GU C 181 del 18.7.2008, pag. 1.

( 3 ) Direttiva 2002/22/CE relativa alservizio universale e ai diritti degli utenti in materia di reti e di servizidi comunicazione elettronica (direttiva servizio universale), GU L 108, del24.4.2002, pag. 51.

( 4 ) Osservazioni del GEPD su quesiti specificiemersi dalla relazione IMCO sulla revisione della direttiva 2002/22/EC(servizio universale) e direttiva 2002/58/CE (e-privacy), 2 settembre 2008.Disponibile all'indirizzo: www.edps.europa.eu

( 5 ) Risoluzione legislativa delParlamento europeo del 24 settembre 2008 sulla proposta di direttiva delParlamento europeo e del Consiglio recante modifica della direttiva 2002/22/CErelativa al servizio universale e ai diritti degli utenti in materia di reti edi servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa altrattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sullacooperazione per la tutela dei consumatori [COM(2007) 698 – C6-0420/20072007/0248(COD)].

( 6 ) Proposta modificata di direttivadel Parlamento europeo e del Consiglio recante modifica della direttiva2002/22/CE relativa al servizio universale e ai diritti degli utenti in materiadi reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CErelativa al trattamento dei dati personali e alla tutela della vita privata nelsettore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004sulla cooperazione per la tutela dei consumatori, Bruxelles 6.11.2008,COM(2008) 723 def.

( 7 ) Disponibile sul sito web pubblicodel Consiglio.

( 8 ) Parere 2/2008 sul riesame delladirettiva 2002/58/CE relativa alla vita privata e alle comunicazionielettroniche (direttiva e-privacy), disponibile sul sito web del gruppodell'articolo 29.

( 9 ) Nel presente parere è usata laparola «compromessi» in riferimento alle violazioni di dati personaliverificatesi in seguito a distruzione, perdita, modifica, rivelazione nonautorizzata o accesso, accidentalmente o in modo illecito, in riferimento adati personali trasmessi, memorizzati o comunque elaborati.

( 10 ) Inparticolare, gli emendamenti 187, 124-127 nonché 27, 21 e 32 del PE affrontanotale questione.

( 11 )Eccetto qualora esista un pericolo imminente e diretto, nel qual caso isoggetti contemplati devono informare prima i consumatori.

( 12 )Articolo 2, lettera i) della posizione comune e della proposta modificate earticolo 3, paragrafo 3 della prima lettura del Parlamento.

( 13 ) Cfr. nota 11 relativa alla derogaa tale norma.

( 14 ) L'articolo 15bis, paragrafo 3 riconosce questa facoltà di supervisione prevedendo che «GliStati membri provvedono affinché le autorità nazionali competenti e, se delcaso, altri organismi nazionali, dispongano di tutte le risorse e di tutte lecompetenze necessarie, compresa la possibilità di ottenere ogni informazionepertinente di cui possano avere bisogno per applicare e controllare ledisposizioni nazionali adottate conformemente alla presente direttiva».

( 15 ) «La presente direttiva si applica altrattamento dei dati personali connesso alla fornitura di servizi dicomunicazione elettronica accessibili al pubblico su reti pubbliche dicomunicazione».

( 16 ) A contrario, si potrebbe sostenere che, poichéil servizio di comunicazione è fornito al pubblico, anche se la rete è privata,la fornitura di tali servizi è contemplata dal quadro giuridico esistentemalgrado il fatto che la rete sia privata. In realtà, ad esempio, in Francia idatori di lavoro che forniscono ai loro impiegati un accesso a Internet sonostati considerati soggetti equivalenti ai fornitori di servizi Internet cheoffrono un accesso a Internet su base commerciale. Tale interpretazione non èampiamente accettata.

( 17 ) Typicallywireless Local Area Networks (reti locali tipicamente senza fili) (LAN).

( 18 ) Cfr. nota a pièdi pagina 16.

( 19 ) Articolo 13, paragrafo 6 della prima letturadel PE.

( 20 ) Si veda, ad esempio, il paragrafo 8 dellalegge tedesca contro la concorrenza sleale (LCSI).