GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29

Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29della direttiva 95/46/CE. Č l'organo consultivo indipendente dell'UE per laprotezione dei dati personali e della vita privata. I suoi compiti sono fissatiall'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190.

Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm

 

Parere 12/2011 - WP 183

sui contatori intelligenti (smart metering)

adottato il 4 aprile 2011

 

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDOAL

TRATTAMENTO DEI DATI PERSONALI,

istituitocon direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre1995,

vistil'articolo 29 e l'articolo 30, paragrafo 1, lettera a), e paragrafo 3, dellasuddetta direttiva,

vistoil proprio regolamento interno,

HA ADOTTATO IL PRESENTE PARERE:

 

Introduzione e campo di applicazione

L'obiettivodel Gruppo di lavoro articolo 29 nell'ambito del presente parere è chiarire il quadrogiuridico applicabile al funzionamento della tecnologia dei contatori intelligenti(smart metering) nel settore energetico. Il parere non mira a fornireuna panoramica esaustiva di tutti gli aspetti specifici dei programmi relativiai contatori intelligenti esistenti negli Stati membri, poiché le disparitàriscontrate nella situazione attuale non consentono di farlo. I contatoriintelligenti offrono nuove funzionalità quali la fornitura di informazionidettagliate sul consumo energetico, la capacità di effettuare una letturaremota dei dati, la creazione di tariffe e servizi nuovi sulla base dei profilienergetici degli utenti e la capacità di disattivare la fornitura in remoto.

Lereti intelligenti (smart grids) danno ancora più spazio allo sviluppo eal trattamento di quantitativi maggiori di dati personali. In questa fase, ilGruppo di lavoro non intende includere la funzionalità delle reti intelligentinell'ambito del presente parere, ma non esclude, tuttavia, di esaminareulteriormente la questione a tempo debito.

Ladirettiva CE concernente l'efficienza degli usi finali dell'energia e i servizienergetici (2006/32/CE) stabilisce gli obiettivi di risparmio energetico cheogni Stato membro deve adottare. Al fine di raggiungere tali obiettivi, trannerare eccezioni, l'articolo 13 della direttiva impone agli Stati membri difornire ai consumatori contatori che riflettano con precisione il loro consumoeffettivo e forniscano informazioni sul tempo effettivo d'uso. Questi contatoriintelligenti rientrano nell'intento di conseguire gli obiettivi dell'Unioneeuropea riguardanti il raggiungimento della sostenibilitàdell'approvvigionamento energetico entro il 2020.

Ladirezione generale Energia ha istituito una task force sulle reti intelligenti.Il gruppo di esperti 2, che è parte della task force, ha chiesto l'assistenzadel Gruppo di lavoro articolo 29 per formulare un'analisi di più ampio respiroriguardo alle misure attuate a livello nazionale. Per questo motivo, nel 2010 èstato distribuito un questionario alle autorità di controllo della protezionedei dati. Sei domande erano volte a ottenere un parere sugli sviluppi nelsettore delle reti intelligenti (molti dei quali sono esaminati anche nelpresente parere). Un'ulteriore serie di dodici domande mirava a ricevereinformazioni sulla situazione corrente relativa all'introduzione di contatoriintelligenti negli Stati membri. Secondo gli Stati membri che hanno risposto allesei domande, il livello di sicurezza dovrebbe essere analogo a quello di altre operazionisu ampia scala, come l'internet banking. Dalle risposte alle altredodici domande è emerso che l'attuazione di programmi finalizzatiall'introduzione di contatori intelligenti presso i consumatori domestici dienergia costituisce un argomento urgente e pertinente in molti Stati membridell'UE. Le misurazioni mediante contatori intelligenti rivestono particolareimportanza in quanto hanno il potenziale di influire sulla vita di quasi tuttii cittadini, poiché si presume che tutti ricevano una fornitura di elettricitàe gas. Il loro raggio d'azione è notevolmente ampio e non si limita a coloroche hanno deciso di impegnarsi negli sviluppi tecnologici. L'obiettivo prevedela copertura dell'80% delle utenze entro il 20201.

Icontatori intelligenti consentono la produzione, la trasmissione e l'analisi didati relativi ai consumatori in una misura decisamente superiore a quellapossibile con i contatori "tradizionali" o "non intelligenti".Conseguentemente, essi permettono inoltre al gestore della rete (denominatoanche "gestore del servizio di distribuzione", altrimenti noto con l'acronimoDSO, dall'inglese Distribution Service Operator), ai fornitori dienergia e ad altre parti di elaborare informazioni particolareggiate sul consumoenergetico e sugli schemi di utilizzo, nonché di adottare decisioni sui singoliconsumatori in base a profili utente. Pur riconoscendo che tali decisionipossono spesso andare a vantaggio dei consumatori in termini di risparmioenergetico, risulta anche che, con l'impiego di dispositivi che vengonoinstallati nelle abitazioni, si configura una potenziale intrusione nelle viteprivate dei cittadini. I contatori intelligenti, inoltre, segnano una svoltanella nostra relazione di base con i fornitori di energia, dal momento che,tradizionalmente, i consumatori hanno pagato i fornitori soltanto perl'elettricità e il gas forniti. Con l'avvento dei contatori intelligenti questorapporto è più complesso, poiché l'interessato trasmette al fornitoreinformazioni sulle sue abitudini personali.

Trai vantaggi ampiamente discussi dell'uso intelligente dell'energia figura la possibilità,per i consumatori, di ridurre le bollette modificando le proprie abitudini, peresempio utilizzando l'energia in orari diversi per usufruire di tariffe piùbasse, oltre all'opportunità, per l'industria energetica, di prevedere ladomanda con maggiore precisione, riducendo gli elevati costi di stoccaggiodell'elettricità. Il raggiungimento degli obiettivi in materia di cambiamenticlimatici si basa, in una certa misura, sul fatto che i consumatori mettano adisposizione i propri dati personali, ma ciò deve avvenire in modo tale chetutte le parti coinvolte nei programmi di introduzione dei contatoriintelligenti e nello sviluppo delle reti intelligenti garantiscano laprotezione e il rispetto dei diritti fondamentali delle persone. Senza taleforma di protezione vi è il rischio non solo che il trattamento dei datipersonali violi le norme nazionali di recepimento della direttiva 95/46/CE, maanche che i consumatori rifiutino tali programmi, non accettando che si procedaalla raccolta di dati personali. Tale rifiuto può verificarsi anche in mancanzadi una violazione delle norme. In sintesi, nell'ottica della protezione deidati, il Gruppo di lavoro articolo 29 intende sottolineare che, benché ibenefici potenziali di tali programmi siano lungimiranti e significativi, essi comportanoanche la possibilità, senza precedenti in questo settore, del trattamento di quantitativicrescenti di dati personali e una più tempestiva trasmissione di tali dati personalia una cerchia più ampia di destinatari rispetto a quanto avviene oggi.

IlGruppo di lavoro è consapevole del fatto che negli Stati membri le situazionisono enormemente diverse: si spazia dai paesi in cui l'introduzione è statapressoché completata a seguito di un mandato governativo a quelli in cui icontatori non sono ancora stati installati.

Visono differenze sostanziali anche per quanto riguarda il livello dicoinvolgimento delle autorità di protezione dei dati. Ove non sia già il caso,il Gruppo di lavoro intende rammentare a tutti i soggetti interessatidall'introduzione dei contatori intelligenti l'importanza di consultare lecompetenti autorità di protezione dei dati. Ulteriori divergenze si possonoriscontrare nella natura del mercato degli Stati membri e nell'attribuzionedella responsabilità dell'installazione dei contatori. In alcuni Stati membritale responsabilità incombe alle società pubbliche di servizi.

Altrovevi è un mercato di fornitori concorrenziale. In alcuni paesi i gestori del sistemadi distribuzione hanno un ruolo più preminente. In alcuni Stati membri la sostituzionedei contatori è obbligatoria e spetta a ciascun cliente. Quando il dettaglio deiconsumi viene inviato al gestore del servizio di distribuzione, i fornitori dienergia possono avere il diritto di accedere alle informazioni di cui hannobisogno per gestire i clienti ed emettere le fatture. Possono anche accedere ainformazioni più dettagliate (per esempio, per fornire consigli sul risparmioenergetico), ma solo con il consenso del consumatore. Il gestore del serviziodi distribuzione ha inoltre il diritto di raccogliere informazioniparticolareggiate sui consumi dei propri clienti per finalità di gestione emanutenzione della rete fisica.

Visono anche metodi diversi e complessi per la comunicazione dei dati, conulteriori punti di ingresso e percorsi dati che creano sfide insidiose intermini di sicurezza e che necessitano di soluzioni adeguate.

Inquesto panorama complesso e diversificato il compito di formulare raccomandazioniè potenzialmente arduo, e sembra che in questa fase possa avere solamentecarattere generale piuttosto che specifico. Appare pertanto ragionevole e realistico,allo stato attuale delle cose, definire chiaramente la portata diquest'analisi, tenendo presente soprattutto la relazione tra i requisitigiuridici di cui alla direttiva sulla protezione dei dati e il contesto deicontatori intelligenti. A seconda del caso, si farà riferimento allo studio cheè già stato realizzato dal gruppo di esperti sulle reti intelligenti2. Per esempio, le raccomandazioni contenute nelpresente parere in merito alla tutela della vita privata fin dallaprogettazione e alla sicurezza coincidono con quelle del gruppo. Il fatto chel'introduzione massiccia dei contatori intelligenti sia già in corso è fuoridiscussione, per cui è necessario comprendere al più presto e collettivamenteil modo in cui questi apparecchi trattano i dati personali e le problematicheche ciò comporta, anche se la portata di tale parere non è esaustiva. Il pareresi prefigge di esaminare i seguenti argomenti: la definizione di dati personalinel contesto dei contatori intelligenti, la responsabilità del trattamento deidati e la revisione dei motivi legittimi per il trattamento. Le raccomandazioniformulate in questa sede si basano sulle conoscenze attualmente disponibili, maè probabile che sarà necessario un ulteriore intervento per affrontare aspettiche emergeranno in futuro (per esempio, gli apparecchi intelligenti).

 

Definizioni

Esistonodiverse definizioni di contatori intelligenti e reti intelligenti. Tuttavia,per includere tutte le problematiche e le priorità individuate dal Gruppo dilavoro articolo 29 è utile definire le reti intelligenti e i contatoriintelligenti come segue:

Icontatori intelligenti sono installati nelle abitazioni dei consumatori econsentono una comunicazione bidirezionale. Informano i consumatori sullaquantità di energia utilizzata, e tale informazione può anche essere inviata aifornitori di energia e ad altre parti designate. La caratteristica fondamentaledei contatori intelligenti consiste nel fatto che essi offrono la possibilitàdi stabilire una comunicazione remota tra il contatore e parti autorizzate tracui fornitori, gestori della rete e parti terze autorizzate o società diservizi energetici. I contatori intelligenti possono aumentare la frequenza dellecomunicazioni tra il consumatore e le altre parti e ciò determina, diconseguenza, un incremento della quantità di dati relativi al consumatore cheviene messa a disposizione delle altre parti. La raccolta e l'utilizzo di datisono molto maggiori e destinati a un ventaglio più ampio di finalità rispettoai contatori tradizionali o "non intelligenti", che vengono letti manualmente aintervalli sporadici.

Intermini il più possibile semplici e generali, il contatore intelligenteeffettua una lettura che riflette il consumo energetico in un immobile. A uncerto punto tale lettura, unitamente ad altre informazioni, può esseretrasmessa al di fuori dell'immobile.

Alcunimodelli consentono l'invio diretto a un hub centrale di comunicazionedove sono gestiti i dati raccolti dai contatori intelligenti. Da questo punto,i dati possono essere consultati dai gestori del servizio di distribuzione, daifornitori e dalle società di servizi energetici.

L'introduzionedei contatori intelligenti è una condizione essenziale per le reti intelligenti.La rete intelligente è una rete intelligente di elettricità che combina informazioniprovenienti dagli utenti della rete per pianificare la fornitura di elettricitàin modo più efficace ed economico rispetto a quanto possibile prima della sua introduzione.

 

Applicazione della legislazione in materia diprotezione dei dati al trattamento dei dati raccolti mediante i contatoriintelligenti

Nelcaso in cui nelle informazioni prodotte e diffuse da un contatore intelligentesiano contenuti dati personali, il Gruppo di lavoro stabilisce che la direttiva95/46/CE si applica al relativo trattamento.

Sullabase delle informazioni generali disponibili su tale argomento e dei dibattiti approfonditicondotti a livello nazionale sul funzionamento dei contatori intelligenti, si èstabilito che le seguenti tipologie di dati possono essere considerate oggettodi trattamento:

€codice identificativo univoco del contatore intelligente e/o numero di riferimentounivoco dell'immobile (in mancanza di tali elementi identificativi, ilcontatore può comunque essere identificato mediante il suo grafico specifico delcarico energetico);

€metadati relativi alla configurazione del contatore intelligente;

€descrizione del messaggio che viene trasmesso, per esempio se si tratta di una letturadel contatore o di una segnalazione di manomissione;

€indicazione di data e ora;

€contenuto del messaggio.

Čprobabile che il contenuto del messaggio comprenda i seguenti tipi diinformazione:

€lettura del resoconto dei consumi. Potrebbe trattarsi di una sola lettura o diun gruppo di letture per la definizione di una tariffa più complessa;

€segnalazioni. Il contatore può trasmettere un messaggio che informa di un eventoche ha determinato l'attivazione di un allarme;

€informazioni sul livello della rete, ossia riguardo a tensione, interruzionidella fornitura di elettricità, qualità dell'elettricità;

€grafici di carico con vari livelli di dettaglio.

Idati possono essere inviati al responsabile del trattamento in tempo reale o conservatinel contatore intelligente. In entrambi i casi, tuttavia, ai sensi delladirettiva sulla protezione dei dati, si considera che i dati sono statiraccolti dal responsabile del trattamento.

L'elencoè lungi dall'essere completo, ma il Gruppo di lavoro osserva che il funzionamentodei contatori intelligenti (e, per estensione, ogni ulteriore sviluppo di retie apparecchi intelligenti) comporta il trattamento di dati personali secondo ladefinizione di cui all'articolo 2 della direttiva 95/46/CE e l'interpretazione delGruppo di lavoro di cui al suo parere 4/2007. Inoltre, l'aumento della quantitàdi dati personali oggetto del trattamento, la possibilità di gestire laconnessione in remoto e la probabilità che siano formulati profili energeticisulla base delle letture precise del contatore fanno sì che sia imperativotenere in debita considerazione il diritto fondamentale dei cittadini alrispetto della vita privata.

Laconclusione secondo cui i dati personali sono sottoposti a trattamento è stata raggiuntaper i seguenti motivi:

1.i dati sopra elencati, essendo generati da contatori intelligenti, sono nella maggiorparte dei casi associati a elementi identificativi univoci, come il numeroidentificativo del contatore. Per le utenze domestiche dei fornitori di energia,tale elemento identificativo è inscindibilmente collegato al soggetto responsabiledella fattura. In altre parole, l'apparecchio consente di distinguere quellapersona dagli altri consumatori;

2.inoltre, le informazioni raccolte nel contesto di un servizio di misurazione intelligentedei consumi sono collegate a un profilo energetico del consumatore nell'ambitodel suo utilizzo di energia, e sono usate per adottare decisioni che loriguardano direttamente. Naturalmente tali decisioni consistono nel determinareil livello di costo relativo alla fornitura di energia, ma non si limitano ascopi connessi alla fatturazione;

3.questo punto di vista trova ulteriore conferma se si considerano i vantaggi ampiamentedeclamati dell'introduzione dei contatori intelligenti, come la riduzione delconsumo energetico generale negli Stati membri. Evidentemente, tale obiettivopuò essere raggiunto solamente se si riduce anche il consumo energetico deisingoli consumatori e, secondo i fornitori e le reti di energia, conseguiretale obiettivo è, in ampia misura, strettamente collegato alla raccolta digrandi quantitativi di informazioni sul comportamento dei consumatori.

 

La definizione di "responsabile del trattamento"applicata ai contatori intelligenti

Čpacifico che la direttiva 95/46/CE pone obblighi in capo al responsabile del trattamentoin relazione al trattamento di dati personali. Prima di definire quali obblighitrovino applicazione nel contesto del presente parere, è importante che il Gruppodi lavoro stabilisca quali persone giuridiche rientrano nella definizione di "responsabiledel trattamento".

L'introduzionedei contatori intelligenti implica la partecipazione al trattamento dei datipersonali di un determinato numero di organizzazioni che potenzialmente comprende,senza pretesa di esaustività, fornitori di energia, gestori della rete energetica,enti di regolamentazione, enti governativi, fornitori terzi di servizi e operatorinel settore delle comunicazioni. Considerate la vastità e la complessità di rapporti,è probabile che si incontreranno difficoltà nell'applicazione delle definizionipertinenti. In ogni caso, l'analisi effettuata in questo parere riflettel'approccio adottato dal Gruppo di lavoro nel suo parere 1/2010 sui concetti di"responsabile del trattamento" e "incaricato del trattamento". Pertanto, leresponsabilità derivanti dalla normativa in materia di protezione dei datidovrebbero essere chiaramente ripartite in modo tale che nella pratica si offrauna sufficiente garanzia di conformità alle norme pertinenti.

 

Fornitori di energia

Inalcuni Stati membri la persona giuridica maggiormente responsabile del trattamentodi dati personali sarebbe il fornitore. Questi, infatti, è in possesso del contrattostipulato con l'interessato in forza del quale si dà avvio al trattamento e, poichéegli decide quali dati sono necessari per adempiere alle sue funzioni e inquale modo raccoglierli, conservarli e utilizzarli, si potrebbe senz'altroaffermare che egli ha stabilito le finalità e le modalità del trattamento deidati personali. Ciò lo identifica abbastanza chiaramente come responsabile deltrattamento dei dati personali generati dai contatori di energia, e il Gruppodi lavoro ritiene che, nonostante le ulteriori complessità apportate daicontatori intelligenti, i fornitori rimangano responsabili del trattamento inquesto contesto.

 

Gestori della rete o gestori del servizio didistribuzione

Inaltri modelli, il gestore del servizio di distribuzione, proprietario dellarete, è responsabile dell'installazione e della gestione del sistema deicontatori intelligenti.

Algestore spetta inoltre definire il metodo di raccolta, conservazione e utilizzodei dati. In questo modello, il gestore del servizio di distribuzione èresponsabile del trattamento. Qualora i fornitori di energia abbiano il dirittodi accedere ai dati trasmessi dai contatori e utilizzino i dati per le lorofinalità (per esempio, per l'emissione di fatture o la fornitura di consulenzaai clienti), anch'essi sono responsabili del trattamento dei dati personali chetrattano.

 

Altre parti

Visono molte altre parti che potenzialmente potrebbero trattare dati personali nell'adempimentodelle loro funzioni all'interno di un programma per l'introduzione di contatoriintelligenti. Poiché è probabile che alcune di esse non vengano alla luce finchénon si esplicano i pieni effetti del passaggio al trattamento di maggiori quantitatividi dati personali, il tentativo di stilare un elenco definitivo in questa fase nonsarebbe prudente. Č inoltre opportuno ricordare le differenze esistenti neimodelli e nelle nozioni di fornitura nei vari Stati membri. In ogni caso èimportante riconoscere che, in mancanza di un impegno di tutte le parti adapplicare in maniera condivisa la definizione di "responsabile del trattamento",aumenta il rischio del mancato raggiungimento della conformità e della buonapratica. Consapevole di questo, il Gruppo di lavoro intende rammentare a tuttele parti i seguenti punti importanti:

1.In alcuni modelli di attuazione, viene istituita una figura professionale che svolgeuna funzione centrale di comunicazione ed è responsabile della gestione dellatrasmissione dei dati tra il contatore e il fornitore. Č possibile che talefigura possa fungere da responsabile del trattamento che opera solo su istruzionidel fornitore al quale invia e dal quale riceve i dati. Tuttavia, se l'addettocon funzioni di comunicazione è in ogni caso incaricato di decidere se i datipersonali possano essere divulgati a terzi o se tali dati possano essere sottopostia trattamento per nuove finalità, questi potrebbe assumere il ruolo di responsabiledel trattamento, con specifico riferimento al trattamento di quei datipersonali.

2.Anche gli enti di regolamentazione operanti nel settore energetico sono attori importanti.Essi possono avere accesso a dati per finalità di ricerca e di elaborazione dipolitiche. L'ente di regolamentazione assume chiaramente il ruolo diresponsabile del trattamento, nella misura in cui quei dati siano dati personali.

3.I fornitori terzi di servizi (spesso denominati "società di servizi energetici"o altrimenti noti con l'acronimo ESCO, dall'inglese Energy Service Company)svolgono un ruolo sempre più preminente nell'utilizzo dei dati generati da contatoriintelligenti. Qualora i dati personali siano divulgati alle società di servizienergetici affinché esse forniscano un servizio al cliente o a un'altra partequale, per esempio, un fornitore, tali società assumono il ruolo di responsabilidel trattamento.

 

Liceità del trattamento e motivi/fini legittimi deltrattamento

Unavolta stabilito che una persona giuridica deve essere considerata responsabiledel trattamento, è importante definire i requisiti giuridici posti in capo alresponsabile del trattamento dalla direttiva sulla protezione dei datipersonali. In conformità dell'articolo 6 della direttiva, i dati personalidevono essere trattati lealmente e lecitamente. Perché il trattamento di datipersonali sia lecito, è necessario soddisfare almeno uno dei sei motivi per illegittimo trattamento di cui all'articolo 7 della direttiva.

IlGruppo di lavoro osserva che in molti, se non in tutti, gli Stati membri lanatura esatta delle finalità del trattamento dei dati personali conservati otrasmessi da un contatore intelligente deve ancora essere resa assolutamentechiara o propriamente definita. Alla luce di quest'osservazione, il Gruppo dilavoro è dell'avviso che si debba procedere alla definizione di tali finalitàprima di poter fare valere qualsiasi pretesa riguardo alla legittimità dei motividel trattamento. Il Gruppo nota altresì che ciascuna finalità separata debbaessere, in sé e per sé, legittima e che un fine legittimo non possa a sua voltalegittimare un altro fine. Nello specifico, i dati personali non possono esserenuovamente sottoposti a trattamento per altre finalità non compatibili conquelle per le quali sono stati originariamente raccolti.

IlGruppo di lavoro ritiene che in questo contesto i responsabili del trattamento disponganodi cinque possibili motivi per trattare i dati.

 

Consenso

Čevidente che molte delle finalità per le quali i dati personali possono essereutilizzati riguardano il miglioramento dei servizi offerti all'interessato,quali tariffe orarie o consulenze sull'energia. Qualora un interessato abbia pattuitol'accettazione di tale servizio, è probabile che l'operatore in questione– sia esso un fornitore o un terzo – abbia l'opportunità diottenere il consenso dell'interessato al trattamento di dati personali.

IlGruppo di lavoro intende rammentare ai responsabili del trattamento che, nel ricorrereal consenso, devono tener presente che questo è valido solo se l'interessato hapreso una decisione pienamente informata. Non è possibile giustificare il trattamentodi dati personali con il consenso, salvo che l'interessato abbia ricevuto informazionisufficienti sul trattamento dei dati personali in modo da poter effettuare unavera e propria scelta. In particolare, qualora vi siano funzionalità diverse,anziché utilizzare un unico consenso per legittimare finalità potenzialmentedivergenti e prive di correlazione, il consenso dovrebbe esseresufficientemente dettagliato e riflettere le varie finalità.

IlGruppo di lavoro intende raccomandare al settore energetico di sviluppare mezziefficaci e pratici che consentano agli interessati di manifestare il consenso.Č importante ricordare che il consenso deve essere espresso liberamente e devequindi poter essere revocato. Pertanto, i metodi per ottenere il consensodovrebbero permettere all'interessato di cambiare parere senza eccessivedifficoltà. Una possibile soluzione potrebbe consistere nella progettazione diun pannello di controllo dell'impianto domestico che preveda la possibilità dimanifestare il consenso premendo un pulsante. La disponibilità di questo tipodi funzionalità dipenderebbe dal grado di sofisticatezza del contatore e delpannello di controllo al fine di garantire la validità del processo diconsenso.

 

Contratto

Iltrattamento potrebbe anche essere necessario all'esecuzione del contratto conclusocon l'interessato o all'esecuzione di misure precontrattuali prese su richiestadi tale persona. Si potrebbe ricorrere a tale fondamento giuridico perlegittimare il trattamento di dati personali allo scopo di fatturazione, inquanto, senza una fattura compilata in modo accurato, il contratto di fornituraenergetica non può essere adempiuto.

Perquanto attiene alla fatturazione, è importante ricordare l'aspetto dellanecessità di tale condizione. In altre parole, se il motivo del trattamento èl'esecuzione di un contratto che prevede soltanto l'approvvigionamento delcliente e il pagamento da parte di quest'ultimo di una fattura trimestrale, ilfornitore non è tenuto a raccogliere letture più frequenti per adempiere ilcontratto. Il contratto dovrebbe comprendere disposizioni giuridiche valideriguardanti letture più frequenti oppure il fornitore dovrebbe ricorrere a unaltro fondamento giuridico per tali letture.

 

Esecuzione di un compito nell'interesse pubblicooppure per l'esercizio dell'autorità pubblica

Inalcuni Stati membri il gestore della rete di elettricità è responsabile nonsolo della realizzazione della rete fisica ma anche della riduzione del consumoglobale di elettricità. Questo consumo riguarda sia il consumo globale dielettricità, sia il consumo registrato durante le ore di picco. Questi compitisono svolti nell'interesse pubblico e legittimano l'installazione dei contatoriintelligenti.

 

Obbligo legale

Inalcuni Stati membri il gestore della rete ha l'obbligo di installare e raccoglieredati mediante i contatori intelligenti per ogni nuova installazione3.

 

Interesse legittimo

Aisensi dell'articolo 7, lettera f), della direttiva, il trattamento è lecito seè necessario per il perseguimento dell'interesse legittimo del responsabile deltrattamento oppure del o dei terzi cui vengono comunicati i dati, a condizioneche non prevalgano l'interesse o i diritti e le libertà fondamentali dellapersona interessata.

L'aspettoprincipale che qui preme sottolineare è che il ricorso a questo fondamento giuridicodipende dal giusto peso conferito agli interessi e ai diritti degliinteressati.

Potrebbesembrare fuori discussione che una maggiore efficienza nella fornitura e nel consumoenergetico andrebbe a tutto vantaggio dell'interesse legittimo del responsabiledel trattamento e della società nel suo complesso, e che questo risultato potrebbeessere conseguito attraverso i dati personali raccolti dai contatoriintelligenti.

Tuttavia,il semplice fatto che questo uso specifico di dati personali sembri legittimo (eper molte persone, auspicabile) non significa che esso possa essere applicatoper legittimare ogni aspetto del trattamento. In altre parole, l'obbligo diridurre il consumo energetico, pur essendo un obiettivo sensibile dellepolitiche pubbliche, non prevale sempre sui diritti e sugli interessi degliinteressati.

Difatto è chiaro che l'introduzione di misure pratiche, quali le tecnologie di rafforzamentodella tutela della vita privata e le valutazioni dell'impatto sulla vita privata,volte a migliorare la sicurezza e la riservatezza dei dati trattati daicontatori intelligenti, contribuirebbe a far sì che i responsabili deltrattamento possano avvalersi di questo requisito per il trattamento.

Ciòrisulta particolarmente importante qualora il trattamento nell'interesselegittimo del responsabile del trattamento sia intrinsecamente esproporzionatamente intrusivo oppure l'effetto del trattamento provochi undanno ingiustificato all'interessato. Č il caso, ad esempio, della creazione diprofili dettagliati che, di fatto, non sono necessari per il conseguimento delfine, della trasmissione di dati a terzi a insaputa o senza il consensodell'interessato oppure dell'utilizzo di dati personali per prendere decisioni sulloscollegamento in remoto senza considerare adeguatamente la protezione dei dati ealtri diritti dell'interessato.

IlGruppo di lavoro rammenta inoltre al settore energetico che in alcuni Statimembri l'interessato può opporsi all'installazione del contatore intelligente eche, in tal caso, le preferenze dell'interessato prevalgono su altri interessi.

 

Ulteriori questioni di conformità sollevate dallamisurazione con contatori intelligenti

Poichéla natura delle questioni poste dalla misurazione con contatori intelligenti è moltoampia, non è possibile per il Gruppo di lavoro elencare in modo completo i puntisui quali si potrebbe fornire un orientamento. Infatti, trattandosi di unambito di lavoro relativamente nuovo, il Gruppo di lavoro prevede che, di paripasso con l'installazione di un maggior numero di contatori intelligenti,emergeranno nuovi problemi e soluzioni in materia di protezione dei dati. Inogni caso, vi sono alcune questioni di carattere generale che secondo il Gruppodi lavoro meritano seria considerazione da parte di coloro che sono coinvoltiin questo settore.

 

Tutela della vita privata fin dalla progettazione ("Privacy by Design")

IlGruppo di lavoro richiama il suo parere 168 in cui si è affermato che la tuteladella vita privata fin dalla progettazione dovrebbe essere inserita nei servizie nelle tecnologie che implicano il trattamento di dati personali. A taleproposito, l'introduzione dei contatori intelligenti dovrebbe tener conto dellatutela della vita privata già nella fase iniziale, in termini non solo dimisure di sicurezza, ma anche di riduzione al minimo dei quantitativi di datipersonali oggetto di trattamento. In alcuni Stati membri si è proceduto conpiani di attuazione che richiedono una valutazione dell'impatto sulla vitaprivata, e il Gruppo di lavoro intende raccomandare questo approccio.

Icontatori intelligenti attualmente in fase di sperimentazione in alcuni Statimembri raccolgono diverse letture, a seconda del tipo di contratto sottoscrittodal cliente. Per esempio, se il cliente possiede un contratto semplice in cuipaga lo stesso prezzo per l'elettricità consumata durante tutta la giornata, ilcontatore raccoglie una singola lettura giornaliera. Altrimenti, se ilcontratto del cliente prevede prezzi diversi a seconda della fascia oraria, ilcontatore raccoglie dieci diverse letture al giorno. Al suo livello piùbasilare, la tutela della vita privata fin dalla progettazione garantirebbe chele letture del contatore siano trasmesse solamente con la frequenza necessariaper il funzionamento del sistema o per la fornitura di un servizio che ilcliente ha pattuito di ricevere.

Peresempio, un tipo di contatori attualmente in uso raccoglie le letture deiconsumi in tempo reale ogni 10-60 minuti allo scopo di creare un grafico delcarico. La frequenza può essere regolata in remoto dal gestore della rete dielettricità. Il grafico di carico è conservato all'interno del contatore, conuna cronologia di due mesi, ed è raccolto all'occorrenza dal gestore della retedi elettricità. Adottando l'approccio della tutela della vita privata fin dallaprogettazione, questo modello potrebbe essere adattato al fine di raccogliere econservare il grafico di carico solo su richiesta.

Lespecifiche tecniche della rete dovrebbero altresì garantire che i dati raccoltirimangano all'interno della rete domestica, salvo che la trasmissione deglistessi altrove sia necessaria o che l'interessato acconsenta alla trasmissione.Pertanto, il sistema dovrebbe essere progettato in modo tale da garantire cheanche nel caso in cui vengano trasmessi dati personali, gli elementi dei datiche non sono necessari per l'adempimento della finalità della trasmissionesiano filtrati o rimossi. L'obiettivo globale dovrebbe essere il trattamento ela trasmissione del minore quantitativo possibile di dati.

IlGruppo di lavoro raccomanda inoltre che i sistemi siano progettati in modo taleda consentire l'accesso ai dati personali soltanto nella misura necessaria allosvolgimento del ruolo del responsabile del trattamento. Si dovrebbe verificareche tutte le parti che accedono a dati personali siano destinatari competenti eidonei dei dati stessi; inoltre, essi dovrebbero poter accedere soltanto aidati personali necessari per lo svolgimento delle loro funzioni. Essi nondovrebbero quindi accedere a dati personali che esulano da questo ambito.

 

Conservazione dei dati personali

Nell'epocaantecedente i contatori intelligenti, il settore energetico ha sviluppato praticheper la conservazione dei dati per un numero limitato di finalità, tra cui, ad esempio,la fatturazione. L'ambiente di misurazione intelligente presenta nuove sfide.

Sesi considera che quantitativi sostanzialmente maggiori di dati saranno oggettodi trattamento, si dovranno definire politiche e pratiche di conservazione perle nuove finalità e rivedere quelle per le finalità esistenti. Al fine diessere certi che i dati siano conservati solo per la durata necessaria alraggiungimento di uno scopo specifico e lecito, si devono meglio comprendere lefinalità del trattamento. Ciò, a sua volta, consentirà ai contatori didimostrare che i dati personali sono conservati soltanto per il temponecessario. Per esempio, una finalità menzionata abbastanza frequentemente è chei dati raccolti da un contatore consentirebbero la fornitura di consulenza sull'efficienzaenergetica. In alcuni casi questo tipo di servizio potrebbe ricomprenderel'offerta di confronti su base annua, ed è stato suggerito che, al fine di soddisfarequesta finalità, tredici mesi potrebbero rappresentare un periodo di tempo idoneoper la conservazione dei dati personali. Tuttavia, un periodo di conservazione diquesta durata sarebbe accettabile solo qualora l'interessato abbia concordatodi trarre vantaggio da questo schema. Per la fornitura di altri tipi diservizio dovrebbe essere richiesto un periodo di conservazione molto più breve.

Inoltre,si può ipotizzare che i consumatori potrebbero conservare la gran parte di questidati nel contatore o in un altro analogo dispositivo di interfaccia (diverso daquelli richiesti ai fini di fatturazione). Ciò offre l'opportunità diconsentire all'interessato di prendere una decisione autonoma riguardo allaconservazione. In tal caso sarebbe consigliabile che i consumatori ricevano unsistema di avvisi o solleciti che offra loro assistenza in questa forma digestione domestica.

 

Trattamento di dati personali effettuato da terzi

Čprobabile che vi sarà un coinvolgimento significativo di soggetti terzi/societàdi servizi energetici impegnati, attraverso attività di fornitura e supporto, nell'introduzionedel sistema di contatori intelligenti e il Gruppo di lavoro ritiene che quest'aspettovada tenuto in debita considerazione. L'influenza e la partecipazione di soggettiterzi varierà da Stato membro a Stato membro, ma è chiaro che l'introduzione deicontatori intelligenti, nella sua forma più intrusiva, potrebbe comportare "un traffico"di profili energetici nell'interesse delle parti che intendono commercializzarei servizi energetici.

Letecniche che sono state suggerite per contribuire a garantire la conformità comprendonol'istituzione di un hub centrale di comunicazione e informazione che fungada tramite per tutti coloro che intendono accedere a dati relativi ai consumatori;un codice del quale tutte le parti devono essere firmatarie, e una Carta che siestenderebbe all'intero settore energetico. Il Gruppo di lavoro desiderachiarire che quanto più intrusivo è il trattamento tanto più severe devonoessere le misure di tutela adottate. Il Gruppo intende esortare fortemente glienti di regolamentazione competenti a prendere quanto prima posizionesull'accettabilità del trattamento più intrusivo.

Tuttequeste misure si baserebbero sul consenso del consumatore, e il settore energeticodovrebbe garantire che l'interessato si trovi in una posizione tale da poterlo manifestarein modo informato. Il Gruppo di lavoro sottolinea che sarebbe inaccettabile cheun soggetto terzo tratti dati particolareggiati sull'utilizzo energetico di uninteressato all'insaputa e senza il consenso di quest'ultimo.

 

Sicurezza

Nell'ambitodel processo di tutela della vita privata fin dalla progettazione, le valutazionidel rischio ai fini della sicurezza e della vita privata consentiranno di individuarei rischi potenziali per la sicurezza dei dati. Considerando le nuove e vaste prospettiveche si aprono con la rete intelligente e le tecnologie ad essa associate, il compitodi prevedere i requisiti di sicurezza è davvero arduo.

Ponendoa mente questa considerazione, il presente parere raccomanda, al fine di mitigareil rischio, di adottare un approccio di tipo "end-to-end", che coinvolgatutte le parti e attinga da esperienze ampiamente diversificate. La sicurezza,inoltre, deve essere definita in una fase precoce nel quadro dell'architetturadella rete piuttosto che in un momento successivo.

IlGruppo di lavoro desidera chiarire che, affinché gli interessati siano sicuriche i propri dati sono trattati in sicurezza e che il loro diritto fondamentaleal rispetto della vita privata è protetto, è necessario che siano adottatesolide garanzie di sicurezza.

Taligaranzie devono essere applicate a tutto il processo, inclusi gli elementidella rete interni alle abitazioni, la trasmissione di dati personali nellarete e la conservazione e il trattamento di dati personali da parte difornitori, reti e altri responsabili del trattamento.

IlGruppo di lavoro prevede che i contatori intelligenti avranno una lunga duratadi vita e quindi consiglia, col passare del tempo, di sottoporre le garanzie adaggiornamenti e miglioramenti, oltre che a revisione e controlli periodici.

Consideratol'aumento dei quantitativi di dati personali oggetto di trattamento, è evidenteche anche i rischi per la riservatezza dei dati aumentano. Il Gruppo di lavoro raccomandapertanto che le misure tecniche e organizzative coprano perlomeno gli ambitiseguenti:

€prevenzione della comunicazione non autorizzata di dati personali;

€mantenimento dell'integrità dei dati per impedirne la modifica non autorizzata;

€verifica effettiva dell'identità di eventuali destinatari di dati personali;

€occorre evitare che importanti servizi siano interrotti a causa di attacchialla sicurezza dei dati personali;

€strutture per effettuare controlli adeguati dei dati personali conservati o trasmessida un contatore;

€controlli dell'accesso adeguati e periodi opportuni di conservazione;

€aggregazione di dati quando non sono richiesti dati di rilevanza individuale.

 

Diritti individuali e informazioni agli interessati

L'introduzionedei contatori intelligenti comporterà operazioni di trattamento di dati personalinuove e complesse. La maggior parte degli interessati non sarà a conoscenza dellanatura di tali operazioni e del potenziale impatto che esse potrebbero averesulla loro vita privata. Va da sé che, se non sono consapevoli del trattamentodei dati personali, è impossibile che possano prendere decisioni informate ariguardo.

L'obbligodi informare gli interessati sul trattamento dei loro dati personali è uno dei principifondamentali della direttiva sulla protezione dei dati personali. L'articolo 10disciplina la fornitura di queste informazioni e impone al responsabile deltrattamento di comunicare all'interessato:

€l'identità del responsabile del trattamento ed eventualmente del suo rappresentante;

€le finalità del trattamento;

€ulteriori informazioni pertinenti tali da garantire un trattamento leale, tracui informazioni sull'identità dei destinatari dei dati personali esull'esistenza di diritti di accesso e di rettifica.

Ilresponsabile del trattamento incaricato dell'installazione e della manutenzionedel contatore deve chiarire agli interessati il tipo di informazioni che sonoraccolte dal contatore e le finalità del loro utilizzo.

Analogamente,gli interessati devono essere informati in relazione al coinvolgimento di terzinel trattamento dei dati personali ai fini della fornitura dei servizi.Potrebbe essere opportuno, in determinate circostanze, consentire il controlloo il monitoraggio indipendente dell'accesso e dell'uso dei dati personali daparte di terzi per garantire che gli interessati non siano tratti in inganno.

 

Diritti dell'interessato

Iresponsabili del trattamento devono rispettare i diritti degli interessatiall'accesso e, se del caso, alla rettifica o alla cancellazione delleinformazioni conservate a loro riguardo. Ovviamente, il fatto chel'introduzione di una "rete domestica" (in cui il consumatore può ottenereinformazioni immediate dal contatore intelligente sulle sue abitudini di consumazionee sulle tariffe applicate) sia parte integrante del progetto relativo allemisurazioni intelligenti significa che vi è la possibilità di garantire che gliinteressati siano nelle condizioni di esercitare i loro diritti in tuttafacilità utilizzando strumenti che consentono loro di accedere direttamente aidati.

Tuttavia,alcuni dispositivi tecnologici potrebbero non essere idonei ad agevolare l'accessodell'interessato ai propri dati. Per esempio, uno dei contatori attualmente in fasedi sperimentazione in alcuni Stati membri è dotato solamente di un piccolo displayper la visualizzazione di testo. Questo non consente al cliente di accederealle informazioni già trasmesse dal contatore né di visualizzare grafici, comeper esempio il grafico di carico (che è conservato all'interno del contatore).Questo display pertanto non sembra idoneo a soddisfare le richieste di accessodell'interessato.

 

Trattamento dei dati a fini di prevenzione eindagine penale. La direttiva sulla protezione dei dati vietail trattamento di dati personali se tale trattamento è eccedente rispetto allefinalità perseguite. Č evidente che il quadro dettagliato ottenuto grazie aicontatori intelligenti, il quale informa i fornitori in merito ai modelli diutilizzo energetico, può consentire di individuare attività sospette e, inalcuni casi, illecite. Il Gruppo di lavoro desidera rammentare al settoreenergetico che il fatto che questa possibilità esista non legittimaautomaticamente il trattamento di dati su ampia scala per questo fine. Čparticolarmente importante osservare che se i dati personali riguardano lapresunta perpetrazione di un reato, tali dati personali verrebbero classificaticome sensibili e, di conseguenza, il responsabile del trattamento non potrebbesottoporli a trattamento, se non in applicazione dell'articolo 8, paragrafo 5,della direttiva.

 

Conclusione

L'avventodei dispositivi di misurazione intelligenti, che apre la strada alle reti intelligenti,porta con sé un modello totalmente nuovo e complesso di interrelazioni che ponesfide in termini di applicazione della legislazione sulla protezione dei dati.

Lerisposte fornite al questionario della direzione generale Energia dimostranoche esistono situazioni profondamente diverse negli Stati membri dell'UE, perquanto riguarda sia i progressi compiuti nell'introduzione dei dispositivi siagli accordi di approvvigionamento energetico, il che contribuisce a complicareulteriormente il quadro. Tuttavia, è più che evidente che i contatoriintelligenti sono un'innovazione di portata enorme: si prevede che leabitazioni della maggior parte dei cittadini europei saranno dotate di uncontatore intelligente prima della fine del decennio.

Ilpresente parere illustra l'applicabilità della legge sulla protezione dei dati:si è dimostrato che i contatori trattano dati personali, pertanto la leggesulla protezione dei dati trova applicazione.

Ilparere ha evidenziato che i contatori intelligenti offrono molte nuovepossibilità di trattamento dei dati e di erogazione dei servizi ai consumatori.A prescindere dal tipo trattamento, sia esso simile a quello già esistente osenza precedenti, il responsabile del trattamento deve essere chiaramenteindividuato e deve conoscere gli obblighi connessi alla legislazione sulla protezionedei dati, anche in fatto di tutela della vita privata fin dalla progettazione,sicurezza e diritti degli interessati. Gli interessati devono esseredebitamente informati sulle modalità di trattamento dei loro dati e devonoessere a conoscenza delle differenze fondamentali che tale trattamento comporta,in modo che quando esprimono il loro consenso questo possa essere ritenutovalido.

Fattoa Bruxelles, il 4 aprile 2011

Peril Gruppo di lavoro,

Ilpresidente

JacobKOHNSTAMM

 

 

NOTE                                               

1 Smartmeters: controlling your energy bill? (Contatoriintelligenti: controllano la vostra bolletta dell'elettricità?) Euractiv.com,[on-line] disponibile all'indirizzo: http://www.euractiv.com/en/energy-efficiency/smart-meters-controlling-your-energy-billlinksdossier-257199 [consultato il 25 marzo 2011]

L'articolo riguarda le tappe definite nel terzo pacchetto energia,adottato nel giugno 2009.

2 Alfine di agevolare e sostenere la procedura di introduzione di una reteintelligente in tutta l'UE, la Commissione europea ha deciso di istituire unatask force sulle reti intelligenti. Sono stati così creati tre gruppi diesperti con il compito di formulare raccomandazioni per l'attuazione delle retiintelligenti. Il documento che ha ispirato il presente parere è il seguente: gruppodi esperti 2 della task force sulle reti intelligenti, RegulatoryRecommendations for Data Safety, Data Handling and Data Protection ReportIssued February 16 2011, [on-line] disponibile all'indirizzo: http://ec.europa.eu/energy/gas_electricity/smartgrids/doc/expert_group2.pdf> [consultato il 25 marzo 2011]

3 Siveda il decreto francese n. 2010-1022 del 31 agosto 2010.