Parere 2/2002: sull'uso di identificativi esclusivi negli apparecchi terminali di telecomunicazione

CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Parere 2/2002
sull'uso di identificativi esclusivi negli apparecchi terminali di telecomunicazione:
l'esempio dell'IPv6 - wp59

Adottato il 30 maggio 2002

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

costituito in virtù della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995¹,

visti l'articolo 29 e l'articolo 30, paragrafo 1, lettera a), e paragrafo 3, di tale direttiva,

visto il proprio regolamento interno, in particolare gli articoli 12 e 14,

ha adottato il presente parere:

Comunicazione della Commissione sull'IPv6

Il 21 febbraio 2002 la Commissione europea ha adottato una comunicazione al Consiglio e al Parlamento europeo incentrata sull'Internet della prossima generazione e sulle priorità d'azione nella migrazione verso il nuovo protocollo Internet IPv6. Tale comunicazione si colloca nel contesto dell'attuale sviluppo dei servizi di rete e degli apparecchi terminali di comunicazione in grado di connettersi alla rete. Il nuovo protocollo Internet è stato elaborato al fine di facilitare e armonizzare le possibilità di connessione alla rete utilizzando terminali di vario tipo, quali telefoni cellulari, personal computer o assistenti digitali personali, che utilizzano la tecnologia via cavo o senza fili.

Pur riconoscendo che non si possono che incoraggiare siffatti sviluppi, il gruppo desidera porre l'accento sulla necessità di un attento e approfondito studio delle implicazioni del nuovo protocollo in termini di tutela dei dati personali.

Il gruppo approva la posizione adottata dalla Commissione nella sua comunicazione, secondo la quale le problematiche relative alla privacy devono essere esaminate nell'ambito del futuro sviluppo di Internet, ma sottolinea che i problemi connessi alla privacy sollevati dallo sviluppo del nuovo protocollo IPv6 non sono stati ancora risolti.

In particolare, suscita timori la possibilità dell'integrazione di un numero identificativo esclusivo nell'indirizzo IP come previsto secondo il nuovo protocollo. A questo riguardo il gruppo si rammarica di non essere stato consultato prima dell'adozione della comunicazione ed esprime l'augurio di essere coinvolto nelle prossime iniziative riguardanti l'IPv6 a livello europeo.

Aspetti della tutela dei dati connessi all'impiego di identificativi esclusivi negli apparecchi terminali di telecomunicazione

Il gruppo prende atto della recente redazione da parte del gruppo di lavoro internazionale sulla tutela dei dati nel settore delle telecomunicazioni di un documento di lavoro sulla questione dell'utilizzo di identificativi esclusivi negli apparecchi terminali di telecomunicazione e desidera ringraziare il gruppo per il lavoro svolto.

Il gruppo accoglie con favore le conclusioni del documento di lavoro adottato a Auckland il 27 marzo 2002² e ne desidera avvalorare il contenuto richiamando in particolare l'applicazione di numerosi principi esplicitamente menzionati nella direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e nella direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni³.

Il gruppo mette in evidenza che gli indirizzi IP attribuiti agli utenti Internet costituiscono dati personali⁴ e sono tutelati dalle direttive 95/46/CE e 97/66/CE.

Con riferimento ai lavori già effettuati con riguardo alla tutela dei dati personali su Internet⁵, il gruppo desidera porre l'accento in particolare sui punti di cui in appresso.

- L'identificativo esclusivo di un'interfaccia come quello che potrebbe essere integrato nell'IPv6 costituirebbe un identificativo di applicazione generale e il suo uso è disciplinato come tale nella legislazione degli Stati membri dell'UE.

- Il principio di proporzionalità implica che ponendo a confronto i diritti fondamentali degli interessati e gli interessi dei vari operatori che intervengono nella trasmissione dei dati sulle telecomunicazioni (imprese, fornitori di accesso alle telecomunicazioni) debba essere trattato il minor numero possibile di dati personali.

Tale principio presenta implicazioni, da una parte, per la concezione dei nuovi protocolli e dispositivi di comunicazione e, dall'altra, per il contenuto delle politiche nazionali in relazione con il trattamento dei dati sulle telecomunicazioni: se la tecnologia di per sé è neutra, le applicazioni e la concezione di nuovi dispositivi di telecomunicazione dovrebbero per forza di cose rispettare i principi in materia di tutela della privacy. Inoltre andrebbe evitata la generalizzazione di misure che forzano il carattere identificabile sistematico dei dati sulle telecomunicazioni.

In tale prospettiva, nel quadro di una connessione di telecomunicazione, i fornitori dell'accesso e della rete dovrebbero offrire a qualsiasi utente la possibilità di utilizzare la rete o di accedere ai servizi in maniera anonima o utilizzando uno pseudonimo.

La direttiva 97/66/CE contempla la possibilità di una restrizione dell'identificazione degli indirizzi chiamanti e collegati per qualsiasi utente. Nelle comunicazioni Internet l'anonimato potrebbe essere ottenuto ricorrendo a soluzioni quali la regolare modifica degli indirizzi IP utilizzati da una persona⁶.

- Tenuto conto dei rischi di manipolazione e di uso fraudolento di un identificativo esclusivo, il gruppo ribadisce che le misure di protezione sono necessarie tenendo presente in particolare che i fornitori di telecomunicazioni sono responsabili per la sicurezza dei servizi da loro offerti. Nell'ambito della legislazione dell'Unione europea, gli access provider sono obbligati a informare gli abbonati sui rischi sussistenti in materia di sicurezza.

- Le esigenze in merito a una configurazione standard rispettosa della privacy dei dispositivi di telecomunicazione e alla tutela della vita privata dei servizi di telecomunicazione sono state soddisfatte a livello europeo attraverso obblighi specifici imposti principalmente ai produttori degli apparecchi di telecomunicazione e ai fornitori di servizi⁷.

Conclusioni

Il gruppo incoraggia vivamente le iniziative di ricerca finalizzate all'elaborazione di soluzioni tecniche in vista della tutela della privacy dei dati sulle telecomunicazioni.

Il gruppo è consapevole che vari gruppi di lavoro hanno già adottato iniziative al fine di trovare soluzioni tecniche per alcuni rischi per la privacy e ritengono necessario avviare un dialogo in particolare con i rappresentanti di questi gruppi, segnatamente l'IETF (Internet Engineering Task Force) e la Task Force IPv6.

Il gruppo si riserva la facoltà di compiere ulteriori passi nel quadro della valutazione della nuova concezione dei protocolli, prodotti e servizi di comunicazione e nell'ambito della continuazione del dialogo con gli operatori che si occupano della progettazione di tali nuovi strumenti di comunicazione.

Allegato

Documento di lavoro sull'uso di identificativi esclusivi negli apparecchi terminali di telecomunicazione: l'esempio dell'IPv6

Trentunesima riunione del gruppo di lavoro internazionale sulla protezione dei dati nel settore delle telecomunicazioni - Auckland (Nuova Zelanda), 26-27 marzo 2002

In considerazione di prevedibili lacune del protocollo attualmente utilizzato per la maggior parte delle connessioni Internet (IP versione 4), l'IETF (Internet Engineering Task Force) ha elaborato una sua modifica concettuale. Il nuovo protocollo, IPv6, utilizza una stringa di 128 bit, anziché di 32 bit come nella versione precedente, per costituire ogni singolo indirizzo IP su Internet.

Il nuovo indirizzo, grazie al suo aumentato contenuto, presenta molti vantaggi e consente nuove funzionalità, quali multicasting (trasmissione più rapida di un grande quantitativo di dati a molteplici destinatari, ad esempio video on-line), voce su IP, ecc.

Il nuovo protocollo suscita tuttavia qualche preoccupazione in quanto è stato concepito in modo tale che ciascun indirizzo IP può essere in parte costituito da una serie esclusiva di numeri come un identificativo globale esclusivo. L'introduzione dell'IPv6 potrebbe accrescere i rischi di compilazione di profili delle attività degli utenti su Internet8.

Le seguenti considerazioni preliminari individuano i rischi e richiamano i principi sulla tutela della privacy da prendere in considerazione nell'utilizzare un identificativo esclusivo in sede di creazione di indirizzi IP.

I. Rischi individuati

Le caratteristiche dell'IPv6 portano all'individuazione di specifici rischi per la privacy in funzione della configurazione del nuovo protocollo.

- Si rilevano problemi connessi all'elaborazione di profili qualora un identificativo esclusivo (l'identificativo di una interfaccia, ad esempio basato su un indirizzo MAC univoco della scheda ethernet) venga integrato nell'indirizzo IP di ciascun dispositivo di comunicazione elettronica dell'utente. In tal caso tutte le comunicazioni dell'utente possono essere collegate tra loro in maniera molto più semplice di quanto non avvenga con i cookie attualmente esistenti.

- Possono essere individuati problemi connessi alla sicurezza e alla riservatezza.

Tali rischi sono in relazione con lo sviluppo dei servizi di rete implicante la moltiplicazione del tipo di terminali connessi alla rete che utilizzano lo stesso protocollo di comunicazione: telefoni cellulari, personal computer, dispositivi elettronici di gestione degli apparecchi domestici (riscaldamento, illuminazione, allarmi, ecc.).

Il nuovo protocollo IPv6 consente connessioni stabili col mantenimento dello stesso indirizzo anche se un terminale si muove sulla rete. Sono qui in gioco aspetti legati alla sicurezza e alla riservatezza in quanto esiste un rischio di individuazione dei dati sull'ubicazione di tale nodo mobile⁹.

II. Principi in materia di tutela dei dati applicabili all'IPv6

Il gruppo ritiene necessario attirare l'attenzione di tutti i responsabili dell'elaborazione e dell'implementazione del nuovo protocollo sulle prescrizioni giuridiche nazionali e internazionali che disciplinano la privacy e la sicurezza delle telecomunicazioni.

È ora ampiamente riconosciuto che l'indirizzo IP - e a maggior ragione un numero identificativo esclusivo integrato nell'indirizzo - può essere considerato dato personale nel senso del quadro normativo¹⁰.

Conformemente alle iniziative precedenti e alle posizioni comuni già adottate in materia¹¹, il gruppo ricorda i seguenti principi di cui va tenuto conto in sede d'implementazione del nuovo protocollo Internet.

L'infrastruttura delle telecomunicazioni e i dispositivi tecnici devono essere concepiti in modo tale che nessun dato personale o un numero di dati personali minimo, tenuto conto di quanto sia tecnicamente possibile, siano utilizzati per gestire reti e servizi.

L'identificativo esclusivo di un'interfaccia come integrato nell'IPv6 costituirebbe un identificativo d'applicazione generale.

In contraddizione col principio della minimizzazione dei dati, l'utilizzo di un identificativo esclusivo comporta il rischio dell'elaborazione di profili di persone per tutte le loro attività in relazione con una rete.

La tutela del diritto fondamentale al rispetto della privacy contro un siffatto rischio di elaborazione di profili deve prevalere in sede di analisi dei diversi aspetti del nuovo protocollo, quali la facilità di gestione.

I dati sul traffico e in particolare i dati sull'ubicazione meritano una specifica tutela in considerazione del loro carattere sensibile¹².

Se le informazioni sull'ubicazione devono essere generate nel quadro dell'utilizzo dei dispositivi mobili e degli altri oggetti connessi via IP, siffatte informazioni devono essere tutelate contro ogni abuso e intercettazione illegale. Occorre inoltre evitare che le informazioni sull'ubicazione (e la variazione di tali informazioni in funzione del movimento dell'utente mobile) siano trasmesse in forma non criptata al destinatario dell'informazione attraverso l'intestazione dell'indirizzo IP utilizzato.

I protocolli, i prodotti e i servizi devono essere concepiti in modo da offrire la scelta tra indirizzi permanenti o temporanei. La configurazione standard deve presentare un elevato livello di tutela della privacy.

Considerato che tali protocolli, prodotti e servizi sono in continua evoluzione, il gruppo dovrà seguire da vicino gli sviluppi e sollecitare se necessario una specifica normativa.

Fatto a Bruxelles, il 30 maggio 2002

Per il gruppo
Il presidente
Stefano RODOTÀ

NOTE

1 GU L 281 del 23/11/1995, pag. 31, disponibile al sito:
http://europa.eu.int/comm/internal_market/en/dataprot/index.htm
2 Cfr. l'allegato al presente documento.
3 La direttiva 97/66/CE è in corso di emendamento per tener conto degli sviluppi tecnologici. Le disposizioni della nuova direttiva sono intese a tutelare gli utenti dei servizi di comunicazione elettronica disponibili pubblicamente, a prescindere dalle tecnologie utilizzate.
4 Come specificato dal ventiseiesimo considerando della direttiva 95/46/CE i dati sono qualificati come personali se utilizzando mezzi ragionevoli può essere stabilito un nesso con l'identità dell'interessato (in questo caso, l'utilizzatore di un indirizzo IP) da parte del responsabile del trattamento o da altri. Nel caso degli indirizzi IP, l'ISP è sempre in grado di stabilire un nesso tra l'identità dell'utente e gli indirizzi IP e altri possono essere in grado di fare altrettanto, per esempio facendo ricorso a registri disponibili degli indirizzi IP attribuiti o ad altri dispositivi tecnici esistenti.
5 Documento di lavoro, Trattamento dei dati personali su Internet, adottato dal gruppo il 23 febbraio 1999, doc. 5013/99/IT/def., WP 16;

raccomandazione 1/99 sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software e hardware, adottato dal gruppo il 23 febbraio 1999, doc. 5093/98/IT/def., WP 17;

raccomandazione 2/99 relativa al rispetto della vita privata nel contesto dell'intercettazione delle telecomunicazioni, adottata il 3 maggio 1999, doc. 5005/99/def., WP 18;

raccomandazione 3/99 sulla conservazione dei dati sulle comunicazioni da parte dei fornitori di servizi Internet a fini giudiziari, approvata il 7 settembre 1999, doc. 5085/99/IT/def., WP 25;

parere 1/2000 su alcuni aspetti del commercio elettronico relativi alla protezione dei dati personali, presentato dalla Task Force Internet, approvato il 3 febbraio 2000, doc. 5007/00/IT/def., WP 28;

parere 2/2000 concernente la revisione generale del quadro giuridico delle telecomunicazioni, presentato dalla Task Force Internet, approvato il 3 febbraio 2000, doc. 5009/00/IT/def., WP 29;

parere 7/2000 sulla proposta della Commissione europea di direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle telecomunicazioni elettroniche del 12 luglio 2000, COM (2000) 385, adottato il 2 novembre 2000, WP 36.

6 Una siffatta soluzione è già stata adottata da alcuni access provider che modificano ogni due giorni circa l'indirizzo IP dei loro clienti ADSL.
L'implementazione di alcuni apparecchi terminali già tiene conto degli orientamenti del documento RFC 3041 dell'IETF (Internet Engineering Task Force) sull'applicazione della privacy all'autoconfigurazione di indirizzi nell'Ipv6, del gennaio 2001. Gli apparecchi terminali utilizzano due tipi di indirizzi: un indirizzo generato sulla base dell'indirizzo MAC esclusivo e utilizzato per accedere alle telecomunicazioni (ad esempio, il terminale è sempre raggiungibile utilizzando tale indirizzo permanente) e un altro indirizzo, generato su base (pseudo) casuale, da utilizzare su iniziativa del terminale per le connessioni in uscita.
Pertanto allorché il terminale (e l'utente che lo utilizza) è responsabile della connessione, non potrebbe essere identificato attraverso il suo indirizzo MAC.
7 Si vedano la direttiva 97/66/CE sulla tutela della vita privata nel settore delle telecomunicazioni e la direttiva 1999/5/CE riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione e il reciproco riconoscimento della loro conformità (GU L 091 del 7.4.1999).
8 L'elaborazione globale di profili sull'attività di un utente potrebbe essere possibile addirittura allorché lo stesso apparecchio terminale è utilizzato su reti diverse.
9 Si vedano ad esempio A. Escudero Pascual, "Anonymous and Untraceable Communications - Location privacy in mobile internetworking", 16 maggio 2001; "Location Privacy in Ipv6 — Tracking the binding updates", 31 agosto 2001; http://www.it.kth.se/~aep/
10 Si veda ad esempio a livello europeo la comunicazione della Commissione relativa all'organizzazione e alla gestione del sistema dei nomi di dominio di Internet dell'aprile 2000 e i documenti adottati dal gruppo per la tutela dei dati personali (articolo 29), in particolare il documento "Tutela della vita privata su Internet - Un approccio integrato dell'UE alla protezione dei dati on-line", WP 37, 21 novembre 2000.
11 Common Position regarding Online Profiles on the Internet, adottata nel corso della 27a riunione del gruppo di lavoro del 4/5 maggio 2000;

Common Position on Privacy and location information in mobile communications services, adottata nel corso della 29a riunione del gruppo di lavoro del 15/16 febbraio 2001;

Ten Commandments to protect Privacy in the Internet World Common Position on Incorporation of telecommunications-specific principles in multilateral privacy agreements, adottata nel corso della 28a riunione del gruppo di lavoro del 13/14 settembre 2000.

http://www.datenschutz-berlin.de/doc/int/iwgdpt/inter_en.htm
12 Si veda la "Common Position on Privacy and location information in mobile communications services", adottata nel corso della 29a riunione del gruppo di lavoro del 15/16 febbraio 2001.