CE - GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

adottato il 2 novembre 2000

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 ¹,

visti gli articoli 29 e 30, paragrafi 1 a) e 3 della direttiva,

viste le relative norme di procedura e in particolare gli articoli 12, 13 e 14,

ha adottato il presente parere:

1. Introduzione

Nell';ambito della revisione del 1999 del quadro normativo comunitario in materia di telecomunicazioni ², il 12 luglio 2000 la Commissione ha adottato alcune proposte relative alle nuove direttive nel settore delle comunicazioni elettroniche intese a sostituire il quadro normativo esistente. Una delle cinque proposte previste riguarda una revisione della direttiva 97/66/CE del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni.

In seguito al parere 2/2000 concernente la revisione generale del quadro giuridico delle telecomunicazioni ³, il gruppo di lavoro per la tutela della vita privata intende ora contribuire alle discussioni sul progetto di direttiva in seno al Parlamento europeo e al Consiglio.

2. Analisi del progetto di direttiva

Le preoccupazioni principali del gruppo riguardano il trattamento dei dati personali attraverso Internet, che deve essere affrontato in modo più specifico, nonché i nuovi problemi derivanti dalla liberalizzazione del mercato delle telecomunicazioni.

Articolo 1 - Finalità e ambito di applicazione Articolo 3 — Servizi interessati

Il gruppo prende atto del fatto che non sono previsti cambiamenti per quanto attiene all'ambito di applicazione e ai servizi interessati. Le disposizioni specifiche della nuova direttiva riguarderebbero pertanto la fornitura di servizi di comunicazione elettronica accessibili al pubblico sulle reti pubbliche di comunicazioni nella Comunità. Il trattamento dei dati personali relativo all';uso di reti chiuse/private rientrerebbe esclusivamente nella direttiva generale 95/46/CE. Tale fatto è deplorevole poiché le reti private stanno acquisendo un';importanza crescente nella vita quotidiana, e le comunicazioni dei cittadini, ad esempio nell';ambito professionale, e i rischi per la vita privata che tali reti comportano stanno aumentando di conseguenza e stanno diventano più specifici (ad esempio, la sorveglianza del comportamento dei dipendenti mediante i dati sul traffico, la mancanza di riservatezza delle comunicazioni).

Il trattamento dei dati personali associato alla fornitura di servizi che utilizzano reti e servizi pubblici di comunicazioni ⁴, come il contenuto delle trasmissioni radiotelevisive e i servizi della società dell';informazione, non rientra nella nuova diretta proposta. Ciò significa che, in quest'ultimo caso, il trattamento dei dati è soggetto solamente alla direttiva 95/46/CE come pure tutte le questioni che non rientrano nella direttiva specifica sulla vita privata (v. l';articolo 9 che è identico al pertinente articolo dell';attuale direttiva 97/66/CE).

Rientrerebbero tuttavia nella direttiva i servizi televisivi interattivi.⁵

Questi punti potrebbero essere chiariti utilmente nel testo dei relativi articoli delle varie direttive ovvero nei considerando.

Articolo 2 — Definizioni

Il gruppo si compiace del tentativo di chiarire la terminologia. Osserva che la direttiva proposta accoglie l';opinione adottata dal gruppo nel suo documento di lavoro "Il trattamento dei dati personali in Internet" sul fatto che entrambe le direttive sulla protezione dei dati si applicano al trattamento dei dati Internet ⁶.

I dati relativi al traffico vengono definiti come segue: "ogni dato sottoposto a trattamento nel corso o ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica".

Questa definizione non contiene una clausola di "necessità". Il gruppo si compiace di tale approccio il quale comporta il fatto che tutti i dati sul traffico generati durante una comunicazione, siano essi necessari per stabilire la comunicazione o meno, devono essere cancellati non appena la comunicazione viene trasmessa (v. articolo 6, paragrafo 1). La definizione comprende i dati relativi all'ubicazione generati durante la trasmissione di una comunicazione come pure i "dati relativi alla navigazione" (come l';indirizzo URL), che potrebbe rivelare gli interessi personali di un soggetto (ad esempio, i siti web visitati che forniscono indicazioni sulle convinzioni religiose, le opinioni politiche, la salute o le abitudini sessuali).

Poiché tali dati indicano con precisione quali pagine di un sito web sono state visitate, essi rivelano il contenuto reale cui il soggetto ha avuto accesso.

Poiché i dati sul traffico potrebbero contenere questo tipo di informazioni personali relative all'interessato, essi dovrebbero essere inoltre soggetti alla riservatezza prevista per le comunicazioni (v. articolo 5 e seguenti).⁷

Il gruppo prende atto del fatto che la definizione proposta di "chiamata" non riguarda la telefonia vocale attraverso Internet ma solo la telefonia vocale deviata sul circuito tradizionale.

Il gruppo, sebbene si compiaccia della definizione di "chiamata" fornita dalla direttiva proposta, sottolinea che continuerà a ritenere che nella direttiva 97/66/CE esistente la "chiamata" si riferisca anche all';uso di Internet. Questa opinione sembra essere condivisa dalla Commissione europea alla luce del memorandum esplicativo relativo al progetto di direttiva.

Il gruppo osserva che manca la definizione di "abbonato", sebbene il termine venga utilizzato in tutto il progetto di direttiva. E' invece presente la definizione di "utente", che tuttavia esclude le persone giuridiche. Il gruppo vorrebbe conoscere i motivi di tali modifiche.

Il progetto di direttiva non si riferisce più ai "servizi di telecomunicazione", ma "ai servizi di comunicazione elettronica". Il memorandum esplicativo relativo alla proposta indica che tale modifica si è resa necessaria per allineare la terminologia alla proposta di direttiva che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica ⁸.

Nella proposta di direttiva sulla vita privata manca la definizione di "servizi di comunicazione elettronica", che è tuttavia presente nell';articolo 2, paragrafo b, della proposta di direttiva che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica.

Secondo la nuova definizione, i servizi di comunicazione elettronica sono "i servizi forniti a pagamento consistenti esclusivamente o prevalentemente nella trasmissione e nell'instradamento di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, ma ad esclusione dei sevizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti.

La nuova definizione si basa invero sulla stessa idea centrale di prima (la trasmissione e l';instradamento di segnali su servizi di comunicazioni elettroniche) ma l';inclusione di un elenco di esempi di servizi compresi ed esclusi dalla definizione è molto utile poiché getta luce sulle discussioni citate nella sezione precedente.

Dall';elenco incluso nella nuova definizione si può concludere che chiunque fornisca contenuti trasmessi attraverso reti e servizi di comunicazione elettronica non rientra nell'ambito di applicazione del progetto di direttiva sulla vita privata. Ciò è confermato dal preambolo della proposta di direttiva che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (considerando 7) in cui si afferma che "è necessario separare la disciplina dei mezzi di trasmissione dalla disciplina dei contenuti".

Si afferma altresì che tale separazione non dovrebbe incidere sul riconoscimento dei collegamenti tra i due aspetti.

La principale conseguenza di tale separazione è che i servizi supplementari, come quelli che forniscono contenuti ad un portale o a un sito web (senza tuttavia ospitarli) non rientrano nella direttiva in questione ma solo nella direttiva generale sulla protezione dei dati. Ciò significa inoltre che i fornitori di servizi Internet rientrano nella direttiva specifica nella misura in cui essi agiscono in quanto fornitori di accesso e forniscono la connessione a Internet, ma rientrano esclusivamente nella direttiva generale quando operano come fornitori di contenuti.

Il vantaggio della netta separazione tra la disciplina dei contenuti e quella dei mezzi di trasmissione sta nella chiarificazione che essa reca con sé. In pratica, tuttavia, sarà meno facile operare in presenza di tale separazione (ad esempio, nel caso di un fornitore di servizi Internet che fornisce anche contenuti ospitando il proprio sito portale). Questo fornitore dovrà quindi applicare la direttiva generale a tutte le sue attività e la direttiva specifica (che comporta obblighi specifici) alle attività in cui egli svolge il ruolo di fornitore di accesso.

Un altro aspetto interessante della nuova definizione di "servizi di comunicazione elettronica" è il riferimento al fatto che il servizio deve essere fornito a pagamento. Né il preambolo né il memorandum esplicativo fanno riferimento all';inclusione di questo termine o danno indicazioni sulle modalità di interpretazione. Con ciò si potrebbe intendere che i fornitori di accesso gratuito sono esclusi dall'ambito di applicazione della direttiva modificata sulla vita privata e le telecomunicazioni poiché essi non percepiscono alcun compenso (quanto meno non in termini finanziari) dagli utenti Internet.

Questa interpretazione, tuttavia, non è corretta poiché è stato chiarito nella giurisprudenza della Corte di giustizia europea che, in caso di servizi ai sensi dell';articolo 50 (ex articolo 60) del trattato CE ⁹, il compenso non deve essere necessariamente corrisposto dal destinatario del servizio. Può essere corrisposto, ad esempio, dai pubblicitari.

Nel caso dei fornitori di accesso gratuito, sono coloro che pubblicano annunci o pubblicità nella pagine Internet a corrispondere di fatto un compenso ai fornitori. E'; chiaro pertanto che questi servizi rientrano nella definizione di servizio di comunicazione elettronica e quindi nell'ambito di applicazione della direttiva.

Sarebbe tuttavia auspicabile chiarire questo aspetto nel testo della direttiva, poiché non tutti i lettori conoscono l';interpretazione del termine fornita dalla Corte di giustizia europea ¹⁰.

Il gruppo si compiace della spiegazione di cui al considerando (13) relativa alle misura di sicurezza quali le tecniche di criptaggio. Il gruppo propone di considerare la necessità di porre obblighi più specifici a carico degli operatori di rete e dei fornitori di servizi sulla base di un';analisi delle legislazioni nazionali che attuano le disposizioni in materia di sicurezza, ai fini di agevolare il libero flusso di dati ed apparecchiature (software e hardware). Sarebbe utile indicare in modo più specifico i rischi in gioco e non solo per quanto riguarda Internet ma anche altri ambienti di comunicazione, poiché gli obblighi in materia di sicurezza gravano su tutti i fornitori di reti e servizi.

Il gruppo richiama l'opinione comunemente condivisa che la riservatezza delle comunicazioni sia uno degli elementi più importanti del diritto fondamentale alla tutela della vita privata e alla protezione dei dati, come pure alla segretezza delle comunicazioni. Qualsiasi deroga a tale diritto ed obbligo deve essere limitata a quanto strettamente necessario in una società democratica e deve essere chiaramente definita per legge in conformità alle condizioni stabilite nell'articolo 15 e nell'articolo 13 della direttiva 95/46/CE.

Poiché l'enunciato del proposto articolo 5, paragrafo 2, è troppo vago e quindi permette deroghe alla riservatezza senza rispettare le condizioni fondamentali, il paragrafo in questione dovrebbe essere cancellato.

In tale contesto, il gruppo richiama la sua raccomandazione 2/99 che sottolinea il fatto che "gli operatori delle telecomunicazioni e i fornitori di servizi di telecomunicazione devono prendere le misure necessarie per rendere tecnicamente difficile o impossibile, tenuto conto dello stato attuale della tecnica, l'intercettazione delle telecomunicazioni da parte di chi non è autorizzato dalla legge. Il gruppo sottolinea a tale proposito che la realizzazione di strumenti efficaci per l'intercettazione delle comunicazioni per scopi legittimi, che utilizzano le tecniche più avanzate, non deve comportare un abbassamento del livello generale della riservatezza delle comunicazioni e della tutela della vita privata delle persone fisiche. Questi obblighi assumono un significato particolare nel caso in cui le telecomunicazioni tra persone situate sul territorio degli Stati membri transitano o possono transitare all'esterno del territorio europeo, in particolare nel caso dell'utilizzazione di satelliti o di Internet."

La riservatezza delle comunicazioni (tra cui il comportamento in Internet) deve costituire la norma, non l'eccezione.

Articolo 6 — Dati relativi al traffico e alla fatturazione

Il gruppo ritiene che occorra avvalersi dell'opportunità di rivedere, in maniera più approfondita, la disposizione relativa ai dati sul traffico. Vista l'ampia definizione dei dati relativi al traffico, occorre chiarire che non è necessariamente accettabile trattare tutti i tipi di dati sul traffico allo stesso modo. Occorre chiare le finalità e la misura in cui possono essere generati, raccolti e memorizzati particolari tipi di dati sul traffico (ai sensi della nuova definizione ampliata) e le finalità per cui essi possono essere ulteriormente usati. Il gruppo desidera sottolineare il fatto che nel caso in cui sia consentito il trattamento per una finalità specifica previo il consenso dell'abbonato, l'abbonato non rinuncia in toto ai propri diritti alla vita privata e alla protezione dei dati. Il gruppo ricorda inoltre che deve essere comunque mantenuto, se non rafforzato, il livello di protezione previsto dall'attuale direttiva 97/66/CE.

Per quanto attiene all'articolo 6, paragrafo 2, sulla base dell'attuale proposta di testo che consente il trattamento dei dati sul traffico necessari ai fini della fatturazione, il gruppo osserva che il progetto di direttiva non prevede alcuna armonizzazione del periodo durante il quale può essere legalmente contestata la fattura. Il gruppo vorrebbe sapere in che modo la Commissione intende dar seguito alla raccomandazione 3/99 del gruppo che invitava la Commissione europea ad armonizzare tale periodo per stabilire un limite alla conservazione dei dati sul traffico ai fini specifici di fatturazione, allo scopo di rafforzare il diritto fondamentale alla vita privata dei cittadini. Il gruppo invita il Parlamento europeo e il Consiglio a stabilire un limite di tempo chiaro, che deve essere il più breve possibile. Qualsiasi trattamento di dati sul traffico per altre finalità ingenera nuovi rischi al diritto fondamentale alla vita privata e può essere preso in considerazione solo laddove vengano messi in atto controlli di sicurezza adeguati. Il gruppo raccomanda pertanto di inserire una prova di "necessità" nell'articolo 6, paragrafo 3, in relazione alla possibilità di trattare i dati sul traffico a fini di commercializzazione da parte del fornitore.

Per quanto riguarda la proposta di consentire il trattamento dei dati sul traffico per la fornitura di "servizi a valore aggiunto", il gruppo ritiene che questa condizione non sia abbastanza chiara per garantire la limitazione della finalità. Nell'articolo non sono riportati né le definizione né indicazioni relative all'intera gamma di tali servizi. Poiché si tratta di un contesto diverso rispetto a quello della commercializzazione dei propri servizi da parte del fornitore, potrebbero rendersi necessari controlli di sicurezza diversi.

Il gruppo appoggia la nuova disposizione di cui all'articolo 6, paragrafo 4, concernente le informazioni da fornire all'interessato. Esso propone di aggiungere nel relativo enunciato che l'interessato deve essere informato anche del suo diritto di opporsi al trattamento (articolo 14 della direttiva 95/46/CE).

Articolo 7 — Fatturazione dettagliata

Il gruppo si compiace del riferimento esplicito a modalità alternative per il miglioramento della vita privata per quanto riguarda la fatturazione dettagliata di cui al pertinente articolo. Si dispiace al contempo che una di tali modalità (cancellazione delle cifre, considerando 18 della direttiva 97/66/CE) non sia più menzionata nel nuovo considerando. Il gruppo ne auspica la conferma nel senso che ciò continui ad essere uno strumento legittimo e ne raccomanda l'integrazione nel considerando.

Articolo 9 — Dati relativi all'ubicazione

Poiché occorre maggiore chiarezza circa i servizi a valore aggiunto (v. sopra), l'uso dei dati relativi all'ubicazione (dati sul traffico) per tali finalità deve essere esaminato alla luce della revisione approfondita delle norme relative ai dati sul traffico secondo quanto proposto in precedenza. In linea di principio, i dati relativi all'ubicazione non devono essere sottoposti a trattamento per la fornitura di servizi a valore aggiunto, ma possono essere sottoposti a trattamento eccezionalmente per finalità chiaramente specificate, che richiedano tecnicamente l'uso dei dati relativi all'ubicazione e sempre che vengano messi in atto controlli di sicurezza consoni ai rischi alla vita privata.

Senza anticipare l'opinione finale sulla sostanza concernente il trattamento dei dati relativi all'ubicazione ai fini dei servizi a valore aggiunto ¹¹, il gruppo ritiene che la possibilità tecnica proposta di negare il trattamento dei dati relativi all'ubicazione secondo quanto proposto nell'articolo 9, paragrafo 2, non è una soluzione soddisfacente. In considerazione del carattere sensibile dei dati sull'ubicazione in relazione alla libertà di movimento e del fatto che i dati sull'ubicazione cui si fa riferimento in questa sede non sono necessari per stabilire la comunicazione, l'utente/abbonato deve avere il pieno controllo sul loro trattamento. La norma dovrebbe pertanto essere inversa: l'abbonato deve avere la possibilità, mediante una funzione semplice, di consentire liberamente il trattamento dei dati sull'ubicazione in relazione ad ogni fornitura di un servizio a valore aggiunto (tra cui, ove necessario, il collegamento alla rete o la trasmissione di comunicazioni). L'attuazione tecnica di tale diritto deve essere integrata nell'apparecchiatura dell'utente/abbonato e non nella rete (a differenza dell'identificazione della linea chiamate).

Articolo 10 — Deroghe

Il gruppo ritiene che questo articolo potrebbe richiedere controlli di sicurezza supplementari al fine di evitare il raggiro delle norme più severe oggetto dell'articolo 15 e dell'articolo 13 della direttiva 95/46/CE. Poiché, in questo caso, viene mantenuta la "vecchia" definizione di "chiamata", il gruppo ritiene che questo articolo riguardi solamente la telefonia vocale attraverso reti fisse e mobili, ma escluda la telefonia vocale attraverso Internet, gli indirizzi IP e gli invii di posta elettronica.

(a) Per quanto attiene alla possibilità proposta di annullare la scelta dell'abbonato di non essere identificato ¹²), su sua richiesta, al fine di localizzare chiamate malintenzionate o importune, deve essere previsto un controllo di sicurezza procedurale che permetta di verificare se una chiamata sia davvero malintenzionata o importuna.

(b) L'annullamento della soppressione dell'indicazione della linea chiamante e l'uso dei dati relativi all'ubicazione contro la volontà dell'abbonato/utente o senza che egli ne sia a conoscenza, non sono abbastanza specifici: in primo luogo, occorre chiarire che tipo di dati sull'ubicazione (dati sul traffico) si intendono in questo contesto. In secondo luogo, al fine di evitare il raggiro dell'articolo 15, devono essere specificati gli organismi esecutivi autorizzati a rispondere alle chiamate di emergenza e deve essere sancito l'obbligo di cancellare i dati una volta conseguito l'obiettivo di assistenza.

In tale contesto, il gruppo osserva che l'articolo 22, paragrafo 3, del progetto di direttiva relativa al servizio universale e ai diritti degli utenti ¹³ obbliga gli Stati membri a provvedere "affinché, per ogni chiamata al numero di emergenza europeo "112", le imprese esercenti reti telefoniche pubbliche mettano a disposizione delle autorità incaricate dei servizi di soccorso, ove tecnicamente possibile, le informazioni relative all'ubicazione del chiamante." Sebbene non vi siano dubbi che i servizi incaricati di assistere le persone in situazioni di emergenza devono essere in possesso di tutte le informazioni necessarie per identificare il chiamante, il gruppo richiama l'attenzione della Commissione sulla necessità di garantire la coerenza con i principi di protezione dei dati. Il concetto e la definizione di "autorità incaricate dei servizi di soccorso" deve essere uguale in entrambi i testi. E l'obbligo di fornire i dati sull'ubicazione alle autorità in questione deve essere limitato a quanto necessario per identificare la persona in difficoltà. Ma in considerazione del carattere sensibile dei dati relativi all'ubicazione (v. commenti agli articoli 2 e 9 sopra), può valere la pena considerare in qualche misura la classificazione, tra i servizi, del numero di emergenza europeo "112", con la conseguenza che a quest'ultimo vengono forniti i dati sull'ubicazione necessari relativi solo ai chiamanti che hanno acconsentito al servizio in questione.

Articolo 12 - Elenchi degli abbonati

Il gruppo appoggia la possibilità proposta per gli abbonati di decidere di essere inclusi o meno negli elenchi cartacei o elettronici. Inoltre, vista la portata degli elenchi elettronici, in particolare nell'odierna società dell'informazione, gli abbonati devono essere informati sugli eventuali usi, e i dati che essi possono includere devono essere limitati a quanto necessario per identificarli senza tuttavia rivelare informazioni più private.

Questo requisito è legato ad una questione che, tuttavia, non viene affrontata nel progetto di direttiva: varie autorità per la protezione dei dati si stanno attualmente occupando di casi di ricerche inverse negli elenchi. Si tratta di nuovi servizi del mercato liberalizzato delle telecomunicazione e consistono nell'offrire, con facilità e a basso costo, capacità estese per il trattamento di tutte le informazioni contenute negli elenchi telefonici. E' possibile, ad esempio, risalire, mediante il numero telefonico, al nome e all'indirizzo di una determinata persona ovvero ai nomi e ai numeri telefonici di tutte le persone che abitano nella stessa via dal nome della via. E' possibile ottenere più informazioni su un soggetto di quanto l'interessato possa immaginare accettando di inserire il proprio numero telefonico nell'elenco degli abbonati. E' possibile reperire tutte le informazioni che compaiono di solito su un biglietto da visita (nome, indirizzo, professione, impiego). Inoltre, la semplice conoscenza della bolletta dettagliata di un cittadino, in cui compaiono solo i numeri telefonici chiamati, consentirebbe di stilare un elenco dei nomi e degli indirizzi di tutte le persone chiamate in un determinato lasso di tempo. Altri prodotti di ricerca contengono informazioni geografiche ("dati relativi all'ubicazione". Vedere i precedenti commenti sugli articoli 2 e 9) come le piante di città e la banche dati con le fotografie di tutte le abitazioni di una città. Queste informazioni potrebbero essere associate con facilità all'indirizzo che compare nell'elenco telefonico, consentendo una ricerca a criteri multipli.

Si tratta di una nuova finalità degli elenchi, che non è compatibile con la finalità iniziale. Non è inoltre lecita, a meno che l'interessato non abbia manifestato il proprio consenso al trattamento dei propri dati personali per tali nuove finalità. Il gruppo ha adottato una posizione comune sull'argomento e ritiene importante che il progetto di direttiva si occupi esplicitamente di questo tema nel senso che, ai fini dell'inclusione dei propri dati negli elenchi pubblici per ricerche inverse, debba essere richiesto il consenso informato dell'interessato.

Un altro importante aspetto è che gli elenchi possono essere modificati da chiunque. E' pertanto necessario garantire che le trasmissioni di dati da un fornitore/operatore per le finalità degli elenchi o altri usi dei dati in essi contenuti rispettino le scelte espresse (gratuitamente) dagli utenti/abbonati presso il fornitore/l'operatore iniziale. Il fornitore/l'operatore iniziale deve informare l'utente/abbonato di tali usi (uso commerciale, elenchi derivati, ecc.) prima della sottoscrizione dell'abbonamento.

Inoltre, la cessione dei dati sotto forma di CD-ROM solleva, in alcuni casi, un altro problema per quanto riguarda la durata dell'autorizzazione: la durata dell'autorizzazione deve essere determinata in modo da non consentire l'uso di dati scaduti in relazione alle scelte espresse dalle persone interessate.

Articolo 13 — Comunicazioni indesiderate

Lo "spamming" è la pratica di inviare messaggi di posta elettronica indesiderati, solitamente di natura commerciale, in grandi quantità e ripetutamente, a soggetti con cui il mittente non ha alcun contatto precedente. Gli "spam" rappresentano una forma specifica di violazione della vita privata: l'utente non ha interfacce umane, sostiene i costi della comunicazione e in genere riceve gli "spam" nell'ambito protetto della propria residenza privata.

Non c'è da stupirsi se i consumatori privilegino comunicazioni commerciali desiderate e finalizzate rispetto agli "spam", che sono importuni, la cui lettura o cancellazione comporta inutili perdite di tempo e costi. Il disturbo causato dai mittenti di messaggi di posta elettronica pirata minano la fiducia del consumatore nel commercio elettronico.

Ma anche l'industria pretende certezza giuridica: gli invii di posta elettronica indesiderati mettono i fornitori di servizi Internet nella condizione inaccettabile di trovarsi costretti a fornire la larghezza di banda e le apparecchiature per l'invio di posta elettronica pirata che la stragrande maggioranza dei propri clienti non desidera ricevere. Anche eliminare gli "spam" dai server ed occuparsi di clienti arrabbiati comportano costi notevoli. I sistemi talvolta si ingolfano a causa del carico massiccio di invii di posta elettronica commerciali indesiderati, che bloccano e ritardano il traffico legittimo. La maggior parte dei fornitori di servizi Internet tenta di filtrare gli "spam" e dispone, nei contratti con gli abbonati, di clausole che stabiliscono che l'abbonato non possa inviare o ritrasmettere messaggi di questo tipo. Esistono registri di server sospetti che sono ritenuti fonte di posta elettronica pirata. Ma i filtri utilizzati non sono precisi al 100% ed anch'essi provocano il blocco del traffico legittimo se gli invii vengono effettuati da un server presente sulla lista nera. Tuttavia, poiché non esiste alcun divieto giuridico relativo agli "spam", questa pratica mette i fornitori di servizi Internet in una difficile posizione giuridica. Un divieto giuridico agevolerebbe un'azione più finalizzata nei confronti dei mittenti di messaggi di posta elettronica pirata.

Le recenti tendenze di mercato suggeriscono che i principali operatori di commercializzazione diretta on-line negli Stati Uniti agiscono sulla base di una "commercializzazione basata sull'autorizzazione" (possibilità di adesione) poiché i dati forniti su tale base sono di qualità migliore e il livello di risposte positive è notevolmente più elevato. Alcuni praticano anche la "doppia possibilità di adesione": sebbene il soggetto abbia accordato di ricevere comunicazioni commerciali (esprimendo, ad esempio, questa preferenza in un sito web), nel successivo primo contatto (desiderato) di posta elettronica gli verrà chiesto di confermare la propria preferenza presso l'operatore di commercializzazione diretta.

Internet offre ampie opportunità di raccogliere indirizzi di posta elettronica di utenti interessati a ricevere comunicazioni commerciali per posta elettronica su argomenti specifici e disposti a manifestare il proprio consenso a tale scopo. Qualsiasi invio di corrispondenza basato sul consenso è probabile che raggiunga un numero di potenziali clienti di gran lunga superiore rispetto agli "spam".

In cinque Stati membri (Germania, Austria, Italia, Finlandia e Danimarca) è illecito inviare comunicazioni commerciali indesiderate. In altri Stati membri esiste un sistema di possibilità di recesso oppure la situazione non è del tutto chiara. Le società dei paesi in cui è prevista la possibilità di recesso possono finalizzare i propri indirizzi di posta elettronica non solo nel proprio paese ma anche verso i consumatori degli Stati membri dotati di un sistema che prevede la possibilità di adesione. Inoltre, poiché molto spesso gli indirizzi di posta elettronica non forniscono l'indicazione del paese di residenza dei destinatari, un sistema di regimi divergenti nel mercato interno non fornisce una soluzione comune per quanto riguarda la vita privata del consumatore.

La possibilità di adesione è una soluzione ben equilibrata ed efficace per eliminare gli ostacoli alla fornitura di comunicazioni commerciali pur proteggendo il diritto fondamentale dei consumatori alla vita privata.

Il gruppo, pertanto, si compiace e sostiene la proposta intesa a far fronte agli invii di posta elettronica indesiderati, come per quanto riguarda i centralini automatici e gli apparecchi fax. In tutte queste situazioni, l'abbonato non ha un'interfaccia umana e sostiene, interamente o in parte, i costi della comunicazione. Il grado di invasione nella vita privata e l'onere economico sono comparabili (v. opinione 1/2000).

Articolo 14 — Caratteristiche tecniche e normalizzazione (e considerando 22)

Il gruppo si compiace e sostiene la proposta intesa ad elaborare misure specifiche, a livello comunitario, necessarie per garantire un'attuazione armonizzata delle norme sulla protezione dei dati.

Poiché la tecnologia si evolve dal "basso verso l'alto", potrebbe essere utile ricordare all'industria il proprio interesse ad integrare sin dall'inizio, nel progetto di software e hardware, funzioni che siano compatibili con la vita privata o che addirittura la migliorino. Il gruppo accoglie l'opinione che la tecnologia deve essere conforme ai requisiti giuridici e deve agevolarne l'attuazione, in particolare per quanto attiene al principio di minimizzazione che discende dagli articoli 6 e 7 della direttiva 95/46/CE, nonché l'esercizio dei diritti del soggetto cui i dati si riferiscono. Tenendo conto dell'esperienza di vari Stati membri nonché della raccomandazione 3/97 sull'anonimato in Internet e della raccomandazione 1/99 sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software e hardware, si propone l'aggiunta di un paragrafo secondo le seguenti indicazioni:

Il progetto e la scelta delle tecnologie di trattamento dei dati, tra cui l'hardware e il software, devono essere conformi all'obiettivo di non sottoporre a trattamento alcun dato ovvero di sottoporre a trattamento il minor numero possibile di dati, e devono agevolare l'esercizio dei diritti del soggetto cui i dati si riferiscono. Ove possibile e non sproporzionato rispetto alla protezione prevista, devono essere utilizzati dati anonimi o pseudonimi.

Trasparenza

Il gruppo ritiene che, sebbene sia chiaro che si applichi l'obbligo previsto dalla direttiva generale sulla protezione dei dati di informare l'interessato ¹⁴, fornirebbe valore aggiunto un obbligo esplicito a carico dei fornitori di informare l'abbonato/utente prima della sottoscrizione dell'abbonamento/dell'uso e, in seguito, sui suoi diritti e quindi dargli la possibilità di esercitare in qualsiasi momento tutte le opzioni/i diritti previsti a suo favore dalle direttive sulla protezione dei dati. Tali informazioni riguardano le finalità del trattamento previsto, l'autorità di controllo, il destinatario nel caso in cui sia coinvolto un terzo, i diritti dell'interessato, ecc. Il gruppo propone che queste informazioni vengano pubblicate dai fornitori/operatori al fine di consentire all'abbonato/utente di scegliere in qualsiasi momento tra tutte le opzioni disponibili al fine di esercitare i propri diritti. Ciò potrebbe essere effettuato, ad esempio, pubblicando in un sito web una linea di condotta sulla tutela della vita privata.

3. Conclusioni

Il gruppo si compiace della revisione intesa a garantire che lo stesso servizio venga disciplinato in maniera equivalente, indipendentemente dagli strumenti attraverso i quali viene fornito. Ciò implica altresì il fatto che i consumatori e gli utenti debbono beneficiare dello stesso livello di protezione per quanto riguarda i loro dati personali e la loro vita privata, indipendentemente dalla tecnologia con cui viene fornito un determinato servizio. Il gruppo condivide e sostiene appieno l'opinione della Commissione relativa al fatto che il mantenimento di un livello elevato di protezione dei dati e di tutela della vita privata a favore dei cittadini è uno degli obiettivi dichiarati. Il gruppo riconosce inoltre che è prevista una notevole quantità di adeguamenti intesi a migliorare il livello di protezione dei dati in tutte le comunicazioni elettroniche.

Il gruppo raccomanda alla Commissione, al Parlamento europeo e al Consiglio di tenere conto dei suoi commenti ed invita la Commissione a chiarire le tematiche ancora aperte al fine di consentire al gruppo di contribuire al processo in corso.

Il gruppo suggerisce che il presente progetto di direttiva venga discusso in seno al gruppo di lavoro del Consiglio "Questioni economiche - protezione dei dati". Ciò permetterebbe di accelerare il processo di adozione di tutte le direttive proposte relative alla revisione delle telecomunicazioni e di affidare il testo in questione ad esperti competenti.

Il gruppo si riserva la possibilità di esprimere ulteriori commenti sul progetto di direttiva nel corso della relativa evoluzione.

Per il Gruppo di lavoro
Il Presidente
Stefano RODOTÀ

1 Gazzetta ufficiale N. L 281 del 23/11/1995, p. 31, disponibile su:
http://europa.eu.int/comm/dg15/en/media/dataprot/index.htm

3 Tutti i documenti adottati dal gruppo di lavoro sono disponibili su:
http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

4 Ciò discende dall'articolo 3 del presente progetto di direttiva e dall'articolo 2 del progetto di direttiva che istituisce un quadro normativo comune. Il gruppo osserva che in entrambi i documenti manca la definizione di "servizi pubblici di comunicazioni" e che nel progetto di direttiva sulla vita privata la definizione di "servizio di comunicazione elettronica" non è completa rispetto a quella riportata nella direttiva che istituisce un quadro normativo comune.

5 Sarebbe utile sapere inoltre se sono coperti i messaggi di testo dei telefoni mobili.

6 V. articolo 2 - Definizioni, progetto di considerando (5), articolo 3 - Servizi interessati, nonché la definizione di "reti di comunicazione elettronica" nella direttiva che istituisce un quadro normativo comune, in cui agli esempi forniti potrebbero essere aggiunte le "reti IP".

7 Un altro aspetto che richiederebbe ulteriori discussioni è il fatto che alcuni di questi dati potrebbero anche essere considerati sensibili ai sensi dell'articolo 8 della direttiva generale sulla protezione dei dati 95/46/CE, il cui trattamento è vietato in linea di principio.

8 COM (2000) 393.

9 Causa C-109/92 Wirth [1993] ECR I-6447 , 15.

10 Ciò potrebbe essere effettuato, ad esempio, aggiungendo la parola "normalmente a pagamento" al testo della definizione e spiegando, nel relativo considerando, il significato di tali termini ai sensi della giurisprudenza sopra citata.

11 O più in generale concernente la divulgazione dei dati relativi all'ubicazione agli utenti delle reti.

12 La soppressione dell'indicazione della linea chiamante significa che l'abbonato può scegliere di rimanere anonimo nei confronti della persona che riceve la chiamata. Annullare questo diritto significa che la linea del chiamante può essere identificata anche contro la sua volontà. Per quanto riguarda le chiamate di emergenza, si propone che ciò si applichi anche ai dati relativi all'ubicazione nel caso in cui l'abbonato non abbia espresso il proprio consenso al trattamento dei dati in questione.

13 Disponibile sul sito web indicato alla nota 2.