CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

adottato il 5 novembre 2001

Il GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 ;

Visti gli articoli 29 e 30 della direttiva di cui sopra ;

Visto il proprio regolamento interno ;

Ha adottato il presente parere.

Nel gennaio 2001 la Commissione europea ha trasmesso al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni una comunicazione relativa alla creazione di una società dell'informazione più sicura grazie al rafforzamento della sicurezza delle infrastrutture dell'informazione e alla lotta contro la criminalità informatica.

Il gruppo di lavoro accoglie in modo globalmente favorevole tale testo, che tende ad integrare in modo equilibrato i vari interessi esistenti, ovvero la lotta alla criminalità informatica (che può tra l'altro contribuire a migliorare la tutela dei dati personali) ed il rispetto dei diritti e delle libertà fondamentali degli individui, in particolare i diritti alla vita privata e alla tutela dei dati. Le misure adottate per soddisfare gli interessi legittimi della lotta alla criminalità informatica devono infatti essere conformi agli imperativi relativi alla tutela dei diritti e delle libertà fondamentali ¹. Qualsiasi limitazione di tali diritti e libertà va debitamente giustificata e deve essere necessaria e commisurata all'obiettivo perseguito. La maggiore considerazione del fenomeno della criminalità informatica non deve fornire l'occasione per istituire tecniche di sorveglianza importante dei cittadini, senza che siano state esaminate accuratamente le alternative per lottare contro la criminalità informatica.

Il gruppo di lavoro constata con soddisfazione che la comunicazione della Commissione prevede la creazione di un forum al quale parteciperanno esperti da esso nominati e rappresentanti delle autorità di tutela dei dati. È importante che il forum possa avviare le sue attività il più rapidamente possibile, affinché tutte le iniziative relative alla lotta contro la criminalità informatica possano essere oggetto di un dibattito aperto, trasparente e completo e tutte le parti interessate siano in grado di presentare le loro osservazioni prima dell'attuazione delle misure esposte nella comunicazione della Commissione.

Il gruppo ritiene tuttavia che, sebbene la comunicazione comprenda taluni riferimenti a misure preventive, la Commissione avrebbe potuto soffermarsi maggiormente sull'importanza di misure di prevenzione efficaci, in particolare misure di sicurezza, anziché privilegiare le misure repressive ² . Infatti, un aumento generale del livello di sicurezza contribuirà a ridurre i rischi di compromettere la sicurezza delle reti e delle informazioni. A tal fine il gruppo desidera ricordare gli obblighi derivanti dalle direttive relative alla tutela dei dati.

L'articolo 4 della direttiva 97/66/CE recita: " Il fornitore di un servizio di telecomunicazione offerto al pubblico deve prendere le appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi, se necessario congiuntamente con il fornitore della rete pubblica di telecomunicazione per quanto riguarda la sicurezza della rete. Tenuto conto delle attuali conoscenze in materia e dei costi di attuazione, dette misure devono garantire un livello di sicurezza adeguato al rischio incorso ".

Lo stesso articolo stabilisce che, qualora esista un particolare rischio di violazione della sicurezza della rete, il fornitore di un servizio di telecomunicazione offerto al pubblico ha l'obbligo di informarne gli abbonati indicando tutti i possibili rimedi, compresi i relativi costi.

L'articolo 17 della direttiva 95/46/CE, recita: " il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere ".

Il gruppo ricorda inoltre che l'articolo 24 della direttiva 95/46/CE obbliga esplicitamente gli Stati membri ad adottare le misure adeguate a garantire la completa applicazione delle disposizioni della direttiva e a definire le sanzioni da applicare in caso di violazione delle disposizioni di attuazione.

Non esiste una nozione accettata unanimemente a livello dell'Unione europea di criminalità informatica. Questo termine può indicare sia nuove forme di criminalità (rifiuto di servizi…) che attività criminali di tipo tradizionale che fanno ricorso alle nuove tecnologie. Il gruppo di lavoro desidera tuttavia attirare l'attenzione della Commissione sul fatto che la comunicazione utilizza una nozione di criminalità informatica molto ampia, comprendente anche infrazioni nell'ambito delle quali è stato fatto uso, in un determinato momento, delle tecnologie dell'informazione e della comunicazione.

L'estensione del concetto costituisce però un elemento di sicura importanza. Il concetto costituirà infatti la base delle misure procedurali esposte nella comunicazione. Sarebbe quindi necessario evitare che determinati comportamenti, che in base ad un'investigazione offline non darebbero luogo a misure procedurali intrusive, possano diventare oggetto di tali misure solo perché si fa ricorso a tecnologie dell'informazione e della comunicazione.

Il gruppo di lavoro sottolinea inoltre che la nozione di criminalità informatica è ripresa, ad esempio, dall'allegato alla Convenzione Europol o dal progetto di decisione Eurojust per delimitare le competenze di tali organi. Per garantire coerenza e sicurezza giuridica è allora opportuno operare affinché i vari trattamenti all'interno di entità diverse beneficino di garanzie equivalenti e adeguate ³ . Sarebbe infatti particolarmente dannoso che le aree di competenza distinte di tali varie entità possano far sì che i dati trattati nel contesto della lotta alla criminalità informativa beneficino di un livello di protezione diverso.

Il ravvicinamento delle disposizioni di diritto positivo implicherà la definizione di infrazioni comuni. In tale contesto il gruppo di lavoro intende formulare due osservazioni. Da un lato, per quanto riguarda il contenuto del diritto materiale, è necessario differenziare le infrazioni legate alla criminalità informatica (ad esempio, l'accesso illecito o l'intercettazione illecita….) da quelle che potrebbero esistere in applicazione delle normative sulla tutela della vita privata o dei dati personali (ad esempio l'accesso illecito a dati personali e la violazione della riservatezza delle comunicazioni) al fine di evitare contraddizioni e sovrapposizioni nocive in termini di sicurezza giuridica. Dall'altro lato, i comportamenti punibili legati alla criminalità informatica dovranno necessariamente essere definiti in modo preciso, per poter essere oggetto di incriminazioni. Nella definizione degli elementi costituitivi delle infrazioni è necessario garantire una perfetta coerenza con le norme esistenti in materia di protezione dei dati. Ad esempio, l'assenso di una persona diversa dall'interessato non costituisce necessariamente un criterio valido per non considerare reato un atto che implica una minaccia alla riservatezza dei dati personali.

Il gruppo di lavoro attira l'attenzione della Commissione sulla necessità di procedere ad una valutazione dei lavori del Consiglio d'Europa che hanno dato luogo al progetto di convenzione sulla criminalità informatica. Il gruppo di lavoro sottolinea che le numerose critiche formulate in merito a tale testo riguardano in particolare la sua mancanza di equilibrio ⁴. Il gruppo di lavoro rinvia quindi, a tale proposito, al suo parere 4/2001. Inoltre il gruppo di lavoro ribadisce la necessità di definire il diritto materiale relativo ai comportamenti da incriminare in modo coerente rispetto al quadro giuridico della tutela dei dati.

Il gruppo di lavoro è particolarmente attento alle questioni di diritto procedurale che accompagnano la raccolta di numerosi dati personali su individui dei quali si sospetta che abbiano commesso infrazioni.

Il gruppo di lavoro sottolinea soprattutto il fatto che alle misure di diritto procedurale citate dalla comunicazione della Commissione potrebbe essere attribuita una portata estremamente ampia, nella misura in cui esse possono essere applicate a qualsiasi tipo di criminalità, e non solo a quella informatica.

Il gruppo di lavoro sottolinea la necessità di definire le misure di procedura in modo da garantire il rispetto dei diritti e delle libertà fondamentali degli interessati e, in particolare, in modo coerente rispetto al quadro giuridico della tutela dei dati. Quindi, il fatto che dati personali siano accessibili al pubblico o che chi li detiene materialmente ne autorizzi la divulgazione non implica che tali dati possano essere utilizzati liberamente per lottare contro la criminalità. Inoltre, se le autorità vigilanti sul rispetto della legge sono autorizzate a consultare presso i fornitori di accesso Internet i dati relativi ai collegamenti di un determinato individuo, solo i dati sui collegamenti pertinenti per un'indagine su un comportamento specifico dovrebbero poter essere trattati da tali autorità (ad esempio, dovrebbero poter essere trattati i dati sui collegamenti relativi ad un'intrusione illecita nella rete Intranet di un'impresa, ma non quelli relativi alle abitudini di "navigazione" dell'individuo responsabile dell'intrusione ma non in relazione con l'infrazione stessa). Di conseguenza, il fatto che chi consulta Internet lasci tracce sulla rete e che siano conservati dati personali (spesso all'insaputa dell'interessato) non implica che tutti questi dati possano essere automaticamente utilizzati nel corso di una determinata indagine. Da un punto di vista generale il gruppo è consapevole delle difficoltà, al momento della raccolta di dati informatici, di determinare direttamente quali siano quelli pertinenti e quali quelli non pertinenti; tuttavia è importante che solo i primi siano conservati.

L'adozione di qualsiasi disposizione procedurale e di meccanismi di cooperazione internazionale dovrebbe essere abbinata a determinate condizioni e misure di tutela.

Il gruppo di lavoro ritiene sia necessario prendere in considerazione soprattutto le questioni seguenti :

- determinare innanzitutto una base giuridica che autorizzi l'adozione di ogni misura in modo non arbitrario, accessibile e prevedibile per quanto riguarda gli effetti;

- in una società democratica ogni provvedimento deve essere necessario, ovvero deve essere giustificato da un imperativo sociale e dall'assenza di alternative meno intrusive per constatare i fatti ed escludere qualsiasi sorveglianza generale o esplorativa.

- le misure dovrebbero poter essere attuate solo se sussistono gli indizi per sospettare qualcuno di progettare, compiere o aver compiuto determinati reati specifici; sarebbe inoltre opportuno effettuare un test di proporzionalità prendendo in considerazione la natura, le circostanze e la gravità dell'infrazione;

- le misure dovrebbero essere limitate nel tempo e nello spazio, sufficientemente specifiche (persona determinata, categorie di dati che possono essere raccolti, computer determinato, dati specifici) e collegate ad una determinata indagine penale ;

- per ogni fattispecie andrebbero previste una motivazione dell'attuazione della misura procedurale nonché un'indicazione dei motivi per cui sistemi meno intrusivi non consentirebbero di stabilire i fatti;

- se tramite misure procedurali si ottengono dati non pertinenti (dati riguardanti terzi, dati non pertinenti al reato….) dovrebbero essere previste garanzie specifiche e, in particolare, sistemi di cancellazione dei dati;

- l'informazione dell'interessato in merito all'attuazione della misura procedurale dovrebbe essere prevista dal momento in cui l'informazione non pregiudica o cessa di pregiudicare le indagini ;

- la trasparenza democratica delle misure procedurali va garantita in modo concreto, ad esempio tramite relazioni di politica del crimine;

- l'attuazione della misura deve essere oggetto di un'autorizzazione di un organo giudiziario o di un organo equivalente competente soggetto ad un controllo indipendente;

- per le persone oggetto delle misure va prevista una possibilità di ricorso giurisdizionale ⁵ ;

- per le professioni regolamentate (avvocato, medico...) vanno previste garanzie specifiche ⁶.

Il gruppo di lavoro desidera inoltre rinviare ai suoi lavori precedenti per talune questioni specifiche, ovvero alla raccomandazione 2/99 relativa al rispetto della vita privata nel contesto dell'intercettazione di telecomunicazioni e, in particolare, alla necessità per il diritto nazionale di definire rigorosamente e nel rispetto di tutte le disposizioni succitate le condizioni per l'intercettazione delle comunicazioni, alla raccomandazione 3/99 ⁷ relativa alla conservazione dei dati sul traffico e alla raccomandazione 3/97 relativa all'anonimato su Internet ⁸.

Nella comunicazione della Commissione si fa più volte riferimento a codici di condotta.

Il gruppo di lavoro desidera attirare l'attenzione della Commissione sul fatto che qualsiasi limitazione dei diritti fondamentali dell'individuo deve essere fondata su una base giuridica, al fine di consentire il controllo democratico ⁹.

Conclusioni

Il gruppo di lavoro sottolinea l'equilibrio della comunicazione della Commissione.

Il gruppo di lavoro raccomanda di essere estremamente vigili, affinché le misure concrete di lotta alla criminalità informatica possano integrare gli imperativi di tutela dei diritti e delle libertà fondamentali e, in particolare, del diritto alla tutela dei dati e alla vita privata.

Il gruppo di lavoro ribadisce la necessità di avviare il più presto possibile e mantenere un dibattito pubblico e trasparente, facendovi partecipare tutte le parti interessate ed esperti nella protezione dei dati.

Il gruppo di lavoro suggerisce alla Commissione di valutare se sia veramente opportuno ispirarsi ai lavori svolti nell'ambito del Consiglio d'Europa, che hanno dato luogo al progetto di convenzione sulla criminalità informatica.

Il gruppo di lavoro invita la Commissione, gli Stati membri e il Parlamento europeo a tenere conto del presente parere.

Il gruppo si riserva la possibilità di formulare osservazioni sulle iniziative concrete che saranno adottate nell'ambito della lotta alla criminalità informatica.

Per il gruppo
Il Presidente
Stefano RODOTÁ

NOTE                    

1. Tali diritti sono garantiti dalle direttive 95/46/CE e 97/66/CE, dalla Carta dei diritti fondamentali nell'Unione europea (in particolare dagli articoli 7 e 8), dalla Convenzione europea dei diritti umani (in particolare dall'articolo 8), dalla Convenzione del Consiglio d'Europa n°108 del 1981 relativa alla tutela delle persone con riguardo al trattamento informatizzato dei dati personali, dalla Raccomandazione del Consiglio d'Europa R (87)15 volta a disciplinare l'impiego di dati personali nel settore poliziesco, dalla Raccomandazione del Consiglio d'Europa R (95)4 sulla tutela dei dati personali nel settore dei servizi di telecomunicazioni, per quanto riguarda soprattutto i servizi telefonici.
2. Il gruppo di lavoro è consapevole dell'esistenza di un'altra comunicazione della Commissione riguardante in modo specifico la questione della sicurezza dal titolo " Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo (Com (2001) (298), 6 giugno 2001). Il gruppo di lavoro si riserva la possibilità di commentare questo testo in un secondo tempo.
3. In tal modo sarebbe giustificato l'aumento di trattamenti di dati personali all'interno di tali organi.
4. Si veda, ad esempio, la posizione comune del Gruppo di lavoro internazionale sulla tutela dei dati nelle telecomunicazioni relativa agli aspetti di tutela dei dati del progetto di convenzione del Consiglio d'Europa sulla criminalità informatica del 13/14 settembre 2000 : " Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime ", disponibile all'indirizzo http://www.datenschutz-berlin.de /doc/int/iwgdpt/cy-en.htm e la relazione del Parlamento europeo del 17 luglio 2001 sulla strategia volta a creare una società dell'informazione più sicura rafforzando la sicurezza delle infrastrutture dell'informazione e lottando contro la criminalità informatica.
5. Cfr. articolo 47 della carta dei diritti fondamentali dell'Unione europea.
6. Cfr. in proposito la giurisprudenza della Corte europea dei diritti umani, secondo la quale i locali in cui sono custoditi documenti coperti dal segreto professionale beneficiano di maggiore tutela e qualsiasi perquisizione in materia deve essere proporzionata e mirata, in modo da evitare l'accesso a documenti coperti dal segreto professionale estranei all'indagine.
7. Cfr. anche la risoluzione dei Commissari europei per la tutela dei dati sullo stesso argomento, elaborata a Stoccolma nella primavera 2000.
8. Cfr. la raccomandazione del Consiglio d'Europa n° R (95) 4, articolo 2, §2, 2°.
9. Secondo l'interpretazione della Corte europei dei diritti umani.