Le comunicazioni elettroniche nel Codice della privacy

CAPITOLO I

LA DIRETTIVA EUROPEA
SULLE COMUNICAZIONI ELETTRONICHE
(DIRETTIVA 2002/58/CE)

SOMMARIO: 1. Premessa – 2. Campo di applicazione della direttiva 2002/58/CE e definizioni – 3. Sicurezza – 4. Riservatezza delle comunicazioni – 4.1. Spyware, web bugs e cookies – 5. Dati relativi al traffico – 6. Dati relativi all’ubicazione diversi dai dati relativi al traffico – 7. Fatturazione dettagliata, identificazione della linea chiamante, trasferimento automatico della chiamata, elenchi di abbonati

INDICE

1. Premessa

Con la direttiva 2002/58/CE del 12 luglio 2002[1], il legislatore europeo ha inteso disciplinare il trattamento dei dati personali e tutelare la vita privata nello specifico settore delle comunicazioni elettroniche.

A quanto si legge nel considerando 6 del provvedimento, “L’Internet ha sconvolto le tradizionali strutture del mercato fornendo un’infrastruttura mondiale comune per la fornitura di un’ampia serie di servizi di comunicazione elettronica. I servizi di comunicazione elettronica accessibili al pubblico attraverso l’Internet aprono nuove possibilità agli utenti ma rappresentano anche nuovi pericoli per i loro dati personali e la loro vita privata”.

Si è reso di conseguenza necessario, secondo il legislatore europeo, adeguare la direttiva 97/66/CE[2], relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle telecomunicazioni – attuata in Italia con il D.L.vo 171/1998 [3] – agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica, così da fornire un pari livello di tutela dei dati personali e della vita privata agli utenti dei servizi di comunicazione elettronica accessibili al pubblico, indipendentemente dalle tecnologie utilizzate (considerando 4 della direttiva 2002/58/CE).

La direttiva in esame prevede pertanto l'espressa abrogazione della suddetta direttiva 97/66/CE, sostituendosi ad essa (art. 19)[4].

In questo quadro, il provvedimento si propone di armonizzare le disposizioni degli Stati membri nella misura necessaria per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità (art. 1, par. 1)[5].

La direttiva 2002/58/CE sulle comunicazioni elettroniche si compone di un preambolo (considerando 1-49) e di 21 articoli.

Entro il suo campo di applicazione (artt. 1 e 3), essa disciplina la materia della sicurezza (art. 4), la riservatezza delle comunicazioni (art. 5), i dati sul traffico (art. 6), la fatturazione dettagliata (art. 7), la presentazione e restrizione dell’identificazione della linea chiamante e collegata (art. 8), i dati relativi all’ubicazione (art. 9), il trasferimento automatico della chiamata (art. 11), gli elenchi di abbonati (art. 12), e, infine, le comunicazioni indesiderate (art. 13)[6].

Il presente capitolo analizza brevemente le suddette disposizioni della direttiva sulle comunicazioni elettroniche, in via preliminare rispetto all’esame della disciplina di attuazione del provvedimento europeo nell’ordinamento giuridico italiano, contenuta nel Codice della privacy, la quale sarà oggetto dei successivi capitoli[7].

Sommario

2. Campo di applicazione della direttiva 2002/58/CE e definizioni

Le disposizioni della direttiva sulle comunicazioni elettroniche (art. 1, par. 2) precisano ed integrano le disposizioni contenute nella direttiva 95/46/CE [8], relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, attuata in Italia dapprima con la nota legge 675/1996 ed oggi, come si vedrà, con il Codice della privacy.

Esse inoltre prevedono la tutela dei legittimi interessi degli abbonati persone giuridiche[9].

La direttiva 95/46/CE continuerà comunque a trovare applicazione nell’ambito delle comunicazioni elettroniche, in particolare per quanto riguarda tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali non specificamente disciplinati dalla direttiva in esame, compresi gli obblighi del responsabile del trattamento dei dati e i diritti delle persone fisiche (considerando 10)[10].

A questo proposito, l’art. 15, par. 2, del provvedimento sulle comunicazioni elettroniche stabilisce che le disposizioni del capo III della direttiva 95/46/CE concernenti i ricorsi giurisdizionali, le responsabilità e le sanzioni trovino applicazione relativamente alle disposizioni nazionali adottate in base alla direttiva 2002/58/CE e con riguardo ai diritti individuali risultanti dalla stessa.

Ai sensi dell’art. 3, par. 1, le disposizioni della direttiva 2002/58/CE si applicano specificamente al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nella Comunità[11].

Ai fini del provvedimento, trovano applicazione le definizioni contenute nella direttiva 95/46/CE[12] e nella recente direttiva 2002/21/CE [13], che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (c.d. direttiva quadro).

Si ricordano in particolare le seguenti definizioni date dalla direttiva quadro:

a) reti di comunicazione elettronica: i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse (a commutazione di circuito e a commutazione di pacchetto, compresa Internet), le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;

b) servizio di comunicazione elettronica: i servizi forniti di norma a pagamento consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, ma ad esclusione dei servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti; sono inoltre esclusi i servizi della società dell'informazione di cui all'art. 1 della direttiva 98/34/CE[14] non consistenti interamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettronica;

c) rete pubblica di comunicazioni: una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico;

d) abbonato: la persona fisica o giuridica che sia parte di un contratto con il fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi;

e) fornitura di una rete di comunicazione elettronica: la realizzazione, la gestione, il controllo o la messa a disposizione di una siffatta rete.

Ai sensi dell’art. 2 della direttiva in esame, si applicano inoltre le seguenti definizioni:

a) utente: qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;

b) dati relativi al traffico: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;

c) dati relativi all’ubicazione: ogni dato trattato in una rete di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico;

d) comunicazione: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico[15].

Una comunicazione può comprendere qualsiasi informazione relativa al nome, al numero e all’indirizzo fornita da chi emette la comunicazione o dall’utente di un collegamento al fine di effettuare la comunicazione (considerando 15);

e) chiamata: la connessione istituita da un servizio telefonico accessibile al pubblico che consente la comunicazione bidirezionale in tempo reale;

f) consenso: sia per le persone fisiche che per le persone giuridiche (considerando 17), corrisponde al consenso della persona interessata di cui alla direttiva 95/46/CE.

A questo proposito si ricorda che la direttiva 95/46/CE definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento”.

Il considerando 17 della direttiva sulle comunicazioni elettroniche precisa che il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel caso di un sito Internet;

g) servizio a valore aggiunto: il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;

h) posta elettronica: messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell’apparecchiatura terminale ricevente fino a che il ricevente non ne ha preso conoscenza.

Sommario

3. Sicurezza

Ai sensi dell’art. 4, par. 1, della direttiva sulle comunicazioni elettroniche, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico deve prendere appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi, se necessario congiuntamente con il fornitore della rete pubblica di comunicazione per quanto riguarda la sicurezza della rete.

Secondo la medesima disposizione, tenuto conto delle attuali conoscenze in materia e dei loro costi di realizzazione, dette misure debbono essere idonee ad assicurare un livello di sicurezza adeguato al rischio esistente.

Qualora esista un particolare rischio di violazione della sicurezza di rete, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha l’obbligo di informarne gli abbonati indicando, ove il rischio sia al di fuori del campo di applicazione delle misure che devono essere prese dal fornitore del servizio, tutti i possibili rimedi, compresi i relativi costi presumibili (art. 4, par. 2).

I rischi oggetto della disciplina in esame possono presentarsi segnatamente per i servizi di comunicazione elettronica su una rete aperta come Internet o per i servizi prestati nell’ambito della telefonia mobile analogica.

“È di particolare importanza per gli utenti e gli abbonati di tali servizi essere pienamente informati dal loro fornitore di servizi dell’esistenza di rischi alla sicurezza al di fuori della portata dei possibili rimedi esperibili dal fornitore stesso.

I fornitori di servizi che offrono servizi di comunicazione elettronica accessibili al pubblico su Internet dovrebbero informare gli utenti e gli abbonati delle misure che questi ultimi possono prendere per proteggere la sicurezza delle loro comunicazioni, ad esempio attraverso l’uso di particolari tipi di programmi o tecniche di criptaggio.

L’obbligo di informare gli abbonati su particolari rischi relativi alla sicurezza non esonera il fornitore di servizi dall’obbligo di prendere, a sue proprie spese, provvedimenti adeguati ed immediati per rimediare a tutti i nuovi, imprevisti rischi relativi alla sicurezza e ristabilire il normale livello di sicurezza del servizio” (considerando 20).

La fornitura all’abbonato di informazioni sui rischi relativi alla sicurezza dovrebbe essere gratuita, fatta eccezione per i costi nominali che egli può trovarsi a sostenere quando riceve le informazioni o prende di esse conoscenza, ad esempio scaricando un messaggio di posta elettronica.

Il considerando 20 della direttiva in esame precisa infine che la sicurezza deve essere valutata alla luce dell’articolo 17 della direttiva 95/46/CE[16].

In materia di sicurezza, la direttiva 2002/58/CE sulle comunicazioni elettroniche conferma dunque sostanzialmente le analoghe previsioni già contenute nell’abrogata direttiva 97/66/CE, attuata in Italia con il sopra ricordato D.L.vo 171/1998[17].

Sommario

4. Riservatezza delle comunicazioni

“Occorre prendere misure per prevenire l’accesso non autorizzato alle comunicazioni al fine di tutelare la riservatezza delle comunicazioni realizzate attraverso reti pubbliche di comunicazione e servizi di comunicazione elettronica accessibili al pubblico compreso il loro contenuto e qualsiasi dato ad esse relativo” (considerando 21).

Sulla base di siffatta premessa, l’art. 5, par. 1, della direttiva sulle comunicazioni elettroniche[18] prevede pertanto che gli Stati membri assicurino, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico.

In particolare, debbono vietarsi l’ascolto, la captazione, la memorizzazione ed altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando ciò sia legalmente autorizzato ai sensi dell’art. 15, par. 1, della direttiva[19].

Quanto appena detto non deve impedire d’altra parte la memorizzazione tecnica necessaria alla trasmissione della comunicazione, fatto salvo il principio della riservatezza (art. 5, par. 1).

Il divieto di memorizzare comunicazioni e i relativi dati sul traffico da parte di persone diverse dagli utenti o senza il loro consenso non è inteso infatti a vietare eventuali memorizzazioni automatiche, intermedie e temporanee di tali informazioni, fintantoché ciò venga fatto unicamente (considerando 22):

a) a scopo di trasmissione nella rete di comunicazione elettronica e

b) a condizione che l’informazione non sia memorizzata per un periodo superiore a quanto necessario per la trasmissione e ai fini della gestione del traffico e che

c) durante il periodo di memorizzazione sia assicurata la riservatezza dell’informazione.

Inoltre, ove ciò sia necessario per rendere più efficiente l'inoltro di tutte le informazioni accessibili al pubblico ad altri destinatari del servizio su loro richiesta, la direttiva in esame non osta a che dette informazioni possano essere ulteriormente memorizzate, a condizione che esse siano in ogni caso accessibili al pubblico senza restrizioni e che tutti i dati che si riferiscono ai singoli abbonati o utenti che richiedono tali informazioni siano cancellati (considerando 22).

Oltre a ciò, il paragrafo 1 dell’art. 5 della direttiva, appena analizzato, non pregiudica la registrazione legalmente autorizzata di comunicazioni e dei relativi dati sul traffico se effettuata nel quadro di legittime prassi commerciali allo scopo di fornire la prova di una transazione o di una qualsiasi altra comunicazione commerciale (art. 5, par. 2). La direttiva 95/46/CE deve però trovare applicazione per detto trattamento.

Le parti in comunicazione dovrebbero altresì essere informate sulla registrazione, il suo scopo e la durata della sua memorizzazione, preventivamente alla stessa. La comunicazione registrata dovrebbe essere cancellata non appena possibile ed in ogni caso non oltre la fine del periodo durante il quale la transazione possa essere impugnata legittimamente (considerando 23).

4.1. Spyware, web bugs e cookies

I cosiddetti software spia (spyware), i bachi invisibili (web bugs), gli identificatori occulti ed altri dispositivi analoghi possono introdursi nel terminale dell'utente a sua insaputa al fine di avere accesso ad informazioni, archiviare informazioni occulte o seguirne le attività; essi possono costituire dunque una grave intrusione nella vita privata dell’utente.

L'uso di tali dispositivi dovrebbe pertanto essere consentito unicamente per scopi legittimi e l'utente interessato dovrebbe esserne a conoscenza (considerando 24)[20].

Le apparecchiature terminali degli utenti di reti di comunicazione elettronica e qualsiasi informazione archiviata in tali apparecchiature fanno infatti parte della sfera privata dell'utente, che deve essere tutelata ai sensi della Convenzione europea per la protezione dei diritti dell'uomo e delle libertà fondamentali[21].

Se questo è vero, il legislatore comunitario prende però atto che simili dispositivi, in particolare i cosiddetti marcatori (cookies)[22], possono rappresentare uno strumento legittimo ed utile, per esempio per l'analisi dell'efficacia della progettazione di siti web e della pubblicità, nonché per verificare l'identità di utenti che effettuano transazioni on-line.

Allorché tali dispositivi, in particolare i cookies, siano destinati a scopi legittimi, come facilitare la fornitura di servizi della società dell'informazione, il loro uso dovrebbe essere dunque consentito purché siano fornite agli utenti informazioni chiare e precise, a norma della direttiva 95/46/CE, sugli scopi dei marcatori o di dispositivi analoghi (considerando 25).

Ciò per assicurare che gli utenti siano a conoscenza delle informazioni registrate sull'apparecchiatura terminale che stanno utilizzando.

Essi dovrebbero d’altra parte avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale.

Ciò riveste particolare importanza qualora utenti diversi dall'utente originario abbiano accesso alle apparecchiature terminali, e quindi alle informazioni sensibili in relazione alla vita privata contenute in tali apparecchiature.

L'offerta di informazioni e del diritto di opporsi può essere fornita una sola volta per l'uso dei vari dispositivi da installare sull'attrezzatura terminale dell'utente durante la stessa connessione, e applicarsi anche a tutti gli usi successivi che possano essere fatti di tali dispositivi durante successive connessioni.

Le modalità di comunicazione delle informazioni, dell'offerta del diritto al rifiuto o della richiesta del consenso dovrebbero essere il più possibile chiare e comprensibili.

Specifica infine il considerando 25 della direttiva che l'accesso al contenuto di un dato sito Internet può tuttavia continuare ad essere subordinato all'accettazione in conoscenza di causa di un marcatore o di un dispositivo analogo, se utilizzato per scopi legittimi.

Sulla base di quanto appena illustrato, l’art. 5, par. 3, della direttiva 2002/58/CE disciplina dunque espressamente la materia imponendo innanzitutto agli Stati membri di assicurare che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento[23].

Secondo la medesima disposizione, quanto da essa previsto non deve impedire d’altra parte l'eventuale memorizzazione tecnica o l'accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente.

Sommario

5. Dati relativi al traffico

Il considerando 26 del provvedimento in esame afferma che i dati relativi agli abbonati sottoposti a trattamento nell'ambito di reti di comunicazione elettronica per stabilire i collegamenti e per trasmettere informazioni contengono informazioni sulla vita privata delle persone fisiche e riguardano il diritto al rispetto della loro corrispondenza o i legittimi interessi delle persone giuridiche.

Detti dati relativi al traffico – recita il considerando 15 della direttiva 2002/58/CE – “possono comprendere qualsiasi traslazione dell'informazione da parte della rete sulla quale la comunicazione è trasmessa allo scopo di effettuare la trasmissione. I dati relativi al traffico possono tra l'altro consistere in dati che si riferiscono all'instradamento, alla durata, al tempo o al volume di una comunicazione, al protocollo usato, all'ubicazione dell'apparecchio terminale di chi invia o riceve, alla rete sulla quale la comunicazione si origina o termina, all'inizio, alla fine o alla durata di un collegamento. Possono anche consistere nel formato in cui la comunicazione è trasmessa dalla rete”.

I dati relativi al traffico, come definiti dal già esaminato art. 2, possono essere dunque memorizzati solo nella misura necessaria per la fornitura del servizio ai fini della fatturazione e del pagamento per l'interconnessione, per un periodo di tempo limitato.

“Qualsiasi ulteriore trattamento di tali dati che il fornitore dei servizi di comunicazione elettronica accessibili al pubblico volesse effettuare per la commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto può essere autorizzato soltanto se l'abbonato abbia espresso il proprio consenso in base ad informazioni esaurienti ed accurate date dal fornitore dei servizi di comunicazione elettronica accessibili al pubblico circa la natura dei successivi trattamenti che egli intende effettuare e circa il diritto dell'abbonato di non dare o di revocare il proprio consenso a tale trattamento.

I dati relativi al traffico utilizzati per la commercializzazione dei servizi di comunicazione o per la fornitura di servizi a valore aggiunto dovrebbero inoltre essere cancellati o resi anonimi dopo che il servizio è stato fornito. I fornitori dei servizi dovrebbero informare sempre i loro abbonati riguardo alla natura dei dati che stanno sottoponendo a trattamento, nonché agli scopi e alla durata del trattamento stesso” (considerando 26).

Il momento esatto del completamento della trasmissione di una comunicazione, dopo il quale i dati relativi al traffico dovrebbero essere cancellati, salvo ai fini di fatturazione, può dipendere dal tipo di servizio di comunicazione elettronica che è fornito.

Per esempio, per una chiamata di telefonia vocale la trasmissione sarà completata quando uno dei due utenti termina il collegamento. Per la posta elettronica la trasmissione è completata quando il destinatario prende conoscenza del messaggio, di solito dal server del suo fornitore di servizi (considerando 27).

L'obbligo di cancellare o di rendere anonimi i dati relativi al traffico quando non sono più necessari ai fini della trasmissione di una comunicazione non contraddice d’altra parte, secondo il preambolo della direttiva, le procedure utilizzate su Internet, come la realizzazione di copie cache, nel sistema dei nomi di dominio, di indirizzi IP o la realizzazione di copie cache di un indirizzo IP legato ad un indirizzo fisico o l'uso di informazioni riguardanti l'utente per controllare il diritto d'accesso a reti o servizi (considerando 28).

Secondo quanto affermato dal considerando 29, il fornitore di servizi è legittimato a trattare, inoltre, i dati sul traffico relativi agli abbonati ed agli utenti ove necessario in singoli casi per individuare problemi tecnici od errori materiali nella trasmissione delle comunicazioni.

I dati relativi al traffico necessari ai fini della fatturazione possono anche essere sottoposti a trattamento da parte del fornitore per accertare e sospendere la frode consistente nell'uso del servizio di comunicazione elettronica senza il corrispondente pagamento (considerando 29).

I sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero essere in ogni caso progettati per limitare al minimo la quantità di dati personali necessari (considerando 30).

Oltre a ciò, tutte le attività relative alla fornitura del servizio di comunicazione elettronica che va oltre la trasmissione di una comunicazione e la relativa fatturazione dovrebbero essere basate su dati relativi al traffico aggregati che non possano essere collegati agli abbonati o utenti.

Tali attività, se non possono essere basate su dati aggregati, dovrebbero essere considerate come servizi a valore aggiunto per i quali è necessario il consenso dell'abbonato (considerando 30).

Sulla base di siffatte premesse, l’art. 6 della direttiva sulle comunicazioni elettroniche[24] disciplina i “dati sul traffico” prevedendo innanzitutto che tali dati, relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica, debbano essere cancellati o resi anonimi quando non siano più necessari ai fini della trasmissione di una comunicazione (art. 6, par. 1).

Viene d’altra parte fatto salvo il disposto dell’art. 15, par. 1[25], della direttiva nonché quanto segue.

- I dati relativi al traffico che risultano necessari ai fini della fatturazione per l'abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento è però consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento (art. 6, par. 2).

- Ai fini della commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha facoltà di sottoporre a trattamento i dati di cui all’art. 6, par. 1, sopra illustrato, nella misura e per la durata necessaria per siffatti servizi, o per la commercializzazione, sempre che l'abbonato o l'utente a cui i dati si riferiscono abbia dato il proprio consenso. Gli abbonati o utenti hanno la possibilità di ritirare il loro consenso al trattamento dei dati relativi al traffico in qualsiasi momento (art. 6, par. 3).

- Il fornitore dei servizi deve comunque informare l'abbonato o l'utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del trattamento ai fini enunciati all’art. 6, par. 2, sopra illustrato, e, prima di ottenere il consenso, ai fini enunciati all’art. 6, par. 3, appena esaminato (art. 6, par. 4).

Il trattamento dei dati relativi al traffico ai sensi delle disposizioni finora analizzate deve essere in ogni caso limitato alle persone che agiscono sotto l'autorità dei fornitori della rete pubblica di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico che si occupano della fatturazione o della gestione del traffico, delle indagini per conto dei clienti, dell'accertamento delle frodi, della commercializzazione dei servizi di comunicazione elettronica o della prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato a quanto è strettamente necessario per lo svolgimento di tali attività (art. 6, par. 5).

Deve rilevarsi infine che le norme di cui all’art. 6 della direttiva non pregiudicano la facoltà degli organismi competenti di ottenere i dati relativi al traffico in base alla normativa applicabile al fine della risoluzione delle controversie, in particolare di quelle attinenti all'interconnessione e alla fatturazione (art. 6, par. 6).

Sommario

6. Dati relativi all’ubicazione diversi dai dati relativi al traffico

Nelle reti mobili digitali i dati relativi all'ubicazione, che consentono di determinare la posizione geografica dell'apparecchiatura terminale dell'utente mobile, vengono sottoposti a trattamento in modo da consentire la trasmissione di comunicazioni. Tali dati sono quelli relativi al traffico disciplinati dall’art. 6 della direttiva, esaminato nel precedente paragrafo.

Tuttavia, in aggiunta ad essi, le reti mobili digitali possono avere la capacità di trattare dati relativi all'ubicazione che possiedono un grado di precisione molto maggiore di quello necessario per la trasmissione delle comunicazioni e che vengono utilizzati per fornire servizi a valore aggiunto, come i servizi che forniscono informazioni individuali sul traffico e radioguida.

Secondo il considerando 35 del provvedimento in esame, il trattamento di siffatti dati ai fini della fornitura di servizi a valore aggiunto dovrebbe essere autorizzato soltanto previo esplicito consenso dell'abbonato. Anche in questo caso, tuttavia, gli abbonati dovrebbero poter comunque disporre, gratuitamente, di un mezzo semplice per bloccare temporaneamente il trattamento dei dati relativi alla loro ubicazione.

Ciò posto, l’art. 9 della direttiva sulle comunicazioni elettroniche disciplina il trattamento di questa tipologia di dati prevedendo innanzitutto che se i dati relativi all'ubicazione, diversi dai dati relativi al traffico, relativi agli utenti o abbonati di reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, possono essere sottoposti a trattamento, essi possano esserlo soltanto a condizione che siano stati resi anonimi o che l'utente o l'abbonato abbiano dato il loro consenso, e sempre nella misura e per la durata necessaria per la fornitura di un servizio a valore aggiunto (art. 9, par. 1)[26].

Prima di chiedere il loro consenso, il fornitore del servizio deve informare gli utenti e gli abbonati sulla natura dei dati relativi all'ubicazione diversi dai dati relativi al traffico che saranno sottoposti a trattamento, sugli scopi e sulla durata di quest'ultimo, nonché sull'eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto. Gli utenti e gli abbonati devono avere la possibilità di ritirare il loro consenso al trattamento dei dati relativi all'ubicazione diversi dai dati relativi al traffico in qualsiasi momento (art. 9, par. 1).

Se hanno dato il consenso al trattamento dei dati relativi all'ubicazione, diversi dai dati relativi al traffico, l'utente e l'abbonato devono comunque continuare ad avere la possibilità di negare, in via temporanea, mediante una funzione semplice e gratuitamente, il trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni (art. 9, par. 2).

Il trattamento dei dati relativi all'ubicazione diversi dai dati relativi al traffico ai sensi dei paragrafi 1 e 2 dell’art. 9, appena esaminati, deve essere in ogni caso limitato alle persone che agiscono sotto l'autorità del fornitore della rete pubblica di telecomunicazione o del servizio di comunicazione elettronica accessibile al pubblico o del terzo che fornisce il servizio a valore aggiunto, e deve essere circoscritto a quanto è strettamente necessario per la fornitura di quest'ultimo (art. 9, par. 3).

Sommario

7. Fatturazione dettagliata, identificazione della linea chiamante, trasferimento automatico della chiamata, elenchi di abbonati

Occorre ora analizzare brevemente le disposizioni della direttiva sulle comunicazioni elettroniche che disciplinano la fatturazione dettagliata, l’identificazione della linea chiamante, il trasferimento automatico della chiamata e gli elenchi di abbonati[27].

Fatturazione dettagliata.

L’introduzione di fatture dettagliate ha aumentato le possibilità dell’abbonato di verificare l’esattezza delle somme addebitate dal fornitore del servizio ma, al tempo stesso, può mettere in pericolo la vita privata degli utenti dei servizi di comunicazione elettronica accessibili al pubblico (considerando 33).

Ai sensi dell’art. 7, par. 1, della direttiva 2002/58/CE, agli abbonati viene pertanto riconosciuto il diritto di ricevere fatture non dettagliate.

Gli Stati membri devono inoltre applicare norme nazionali idonee a conciliare i diritti degli abbonati che ricevono fatture dettagliate con il diritto alla vita privata degli utenti chiamanti e degli abbonati chiamati, ad esempio garantendo che detti utenti e abbonati possano disporre, per le comunicazioni e per i pagamenti, di sufficienti modalità alternative che tutelino maggiormente la vita privata (art. 7, par. 2).

Gli Stati membri dovrebbero infatti incoraggiare lo sviluppo di opzioni per i servizi di comunicazione elettronica, quali possibilità alternative di pagamento che permettano un accesso anonimo o rigorosamente privato ai servizi di comunicazione elettronica accessibili al pubblico, per esempio carte telefoniche o possibilità di pagamento con carta di credito. Allo stesso scopo, gli Stati membri possono chiedere agli operatori di offrire ai loro abbonati un tipo diverso di fattura dettagliata, dalla quale è stato omesso un certo numero di cifre dei numeri chiamati (considerando 33).

Presentazione e restrizione dell’identificazione della linea chiamante e collegata.

Qualora sia disponibile la presentazione dell'identificazione della linea chiamante, il fornitore dei servizi deve offrire all'utente chiamante la possibilità di impedire, mediante una funzione semplice e gratuitamente, la presentazione dell'identificazione della linea chiamante, chiamata per chiamata. L'abbonato chiamante deve avere tale possibilità linea per linea (art. 8, par. 1)[28].

Ove sia disponibile la presentazione dell'identificazione della linea chiamante, il fornitore di servizi deve inoltre offrire all'abbonato chiamato la possibilità, mediante una funzione semplice e gratuitamente, per ogni ragionevole utilizzo di tale funzione, di impedire la presentazione dell'identificazione delle chiamate entranti (art. 8, par. 2).

Qualora sia disponibile la presentazione dell'identificazione della linea chiamante e tale indicazione avvenga prima che la comunicazione sia stabilita, il fornitore di servizi deve offrire altresì all'abbonato chiamato la possibilità, mediante una funzione semplice, di respingere le chiamate entranti se la presentazione dell'identificazione della linea chiamante è stata eliminata dall'utente o abbonato chiamante (art. 8, par. 3).

Ove sia disponibile la presentazione dell'identificazione della linea collegata, il fornitore di servizi deve offrire all'abbonato chiamato la possibilità di impedire, mediante una funzione semplice e gratuitamente, la presentazione dell'identificazione della linea collegata all'utente chiamante (art. 8, par. 4).

Il paragrafo 1 dell’art. 8, sopra esaminato, si applica anche alle chiamate provenienti dalla Comunità e dirette verso paesi terzi. I paragrafi 2, 3 e 4 della medesima disposizione si applicano anche alle chiamate in entrata provenienti da paesi terzi (art. 8, par. 5).

Gli Stati membri devono assicurare che, qualora sia disponibile la presentazione dell'identificazione della linea chiamante o di quella collegata, il fornitore di servizi di comunicazione elettronica accessibili al pubblico informi quest'ultimo di tale possibilità e delle possibilità di cui ai paragrafi 1, 2, 3 e 4 dell’art. 8, sopra illustrati (art. 8, par. 6).

Ai sensi dell’art. 10 del provvedimento in esame, gli Stati membri devono assicurare infine l’esistenza di procedure trasparenti in base alle quali il fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico[29]:

a) possa annullare, in via temporanea, la soppressione della presentazione dell'identificazione della linea chiamante a richiesta di un abbonato che chieda la presentazione dell'identificazione di chiamate malintenzionate o importune. In tal caso, in base al diritto nazionale, i dati che identificano l'abbonato chiamante sono memorizzati e resi disponibili dal fornitore di una rete pubblica di comunicazioni e/o di un servizio di comunicazioni elettroniche accessibile al pubblico;

b) possa annullare la soppressione della presentazione dell'identificazione della linea chiamante, nonostante il rifiuto o il mancato consenso temporanei dell'abbonato o dell'utente, linea per linea, per gli organismi che trattano chiamate di emergenza, riconosciuti come tali da uno Stato membro, in particolare per le forze di polizia, i servizi di ambulanza e i vigili del fuoco, affinché questi possano reagire a tali chiamate.

Trasferimento automatico della chiamata.

“Occorre prevedere misure per tutelare gli abbonati dal disturbo che può essere causato dal trasferimento automatico di chiamate da parte di altri.

Inoltre, in tali casi, l'abbonato deve avere la possibilità di impedire che le chiamate trasferite siano inoltrate sul suo terminale, mediante una semplice richiesta al fornitore del servizio di comunicazione elettronica accessibile al pubblico” (considerando 37).

L’art. 11 della direttiva sulle comunicazioni elettroniche dispone pertanto che gli Stati membri provvedano affinché ciascun abbonato abbia la possibilità, gratuitamente e mediante una funzione semplice, di bloccare il trasferimento automatico delle chiamate verso il proprio terminale da parte di terzi[30].

Elenchi di abbonati.

Gli elenchi degli abbonati ai servizi di comunicazione elettronica sono pubblici ed ampiamente distribuiti. Il rispetto della vita privata delle persone fisiche e i legittimi interessi delle persone giuridiche postulano, per gli abbonati, il diritto di determinare se i loro dati personali possano essere pubblicati in un elenco e, in caso affermativo, quali (considerando 38).

È opportuno pertanto che i fornitori di elenchi pubblici informino gli abbonati che vi figureranno degli scopi dell'elenco stesso e di ogni specifico impiego che possa essere fatto delle versioni elettroniche degli elenchi pubblici, in particolare mediante le funzioni di ricerca incorporate nel software, come ad esempio le funzioni di ricerca inversa che consentono agli utenti dell'elenco di risalire al nome e all'indirizzo dell'abbonato in base al solo numero telefonico.

L'obbligo di informare gli abbonati sugli scopi di elenchi pubblici in cui i loro dati personali devono essere inclusi dovrebbe essere imposto alla parte che raccoglie i dati per tale inclusione. Se i dati possono essere trasmessi a uno o più terzi, l'abbonato dovrebbe essere informato su questa possibilità e sul ricevente o sulle categorie di possibili riceventi. Le trasmissioni dovrebbero essere soggette alla condizione che i dati non possono essere usati per scopi diversi da quelli per cui sono stati raccolti. Se la parte che raccoglie i dati dall'abbonato o i terzi a cui i dati sono stati trasmessi desiderano usarli per uno scopo ulteriore, la parte che ha raccolto i dati in origine o il terzo a cui i dati sono stati trasmessi deve ottenere nuovamente il consenso dell'abbonato (considerando 39).

Sulla base di queste premesse l’art. 12, par. 1, della direttiva 2002/58/CE stabilisce che gli Stati membri provvedano affinché gli abbonati siano informati, gratuitamente e prima di essere inseriti nell'elenco, in merito agli scopi degli elenchi cartacei o elettronici a disposizione del pubblico o ottenibili attraverso i servizi che forniscono informazioni sugli elenchi, nei quali possono essere inclusi i loro dati personali, nonché in merito ad ogni ulteriore possibilità di utilizzo basata su funzioni di ricerca incorporate nelle versioni elettroniche degli elenchi stessi (art. 12, par. 1).

Gli Stati membri devono assicurare altresì che gli abbonati abbiano la possibilità di decidere se i loro dati personali – e, nell'affermativa, quali – debbano essere riportati in un elenco pubblico, sempreché i dati siano pertinenti per gli scopi dell'elenco dichiarati dal suo fornitore. Gli Stati membri devono provvedere inoltre affinché gli abbonati abbiano le possibilità di verificare, rettificare o ritirare tali dati. Il fatto che i dati non siano riportati in un elenco pubblico di abbonati, la verifica, la correzione o il ritiro dei dati non devono comportare oneri (art. 12, par. 2).

Gli Stati membri possono disporre che sia chiesto il consenso ulteriore degli abbonati per tutti gli scopi di un elenco pubblico diversi dalla ricerca di dati su persone sulla base del loro nome e, ove necessario, di un numero minimo di altri elementi di identificazione (art. 12, par. 3).

I paragrafi 1 e 2 dell’art. 12, appena esaminati, si applicano agli abbonati che siano persone fisiche. Gli Stati membri devono assicurare inoltre, nel quadro del diritto comunitario e della normativa nazionale applicabile, un'adeguata tutela anche degli interessi legittimi degli abbonati che non siano persone fisiche relativamente all'inclusione negli elenchi pubblici (art. 12, par. 4)[31].

Sommario

CAPITOLO II

IL CODICE DELLA PRIVACY

SOMMARIO: 1. Premessa – 2. Definizioni – 3. Principi generali. Oggetto e ambito di applicazione – 4. Diritti dell’interessato – 5. Regole generali per il trattamento dei dati – 6. Segue: regole ulteriori per i soggetti pubblici – 7. Segue: il consenso dell’interessato – 8. Segue: Comunicazione e diffusione dei dati – 9. Segue: dati sensibili e semisensibili – 10. Soggetti che effettuano il trattamento – 11. Sicurezza dei dati e dei sistemi – 11.1. Misure minime per i trattamenti effettuati con strumenti elettronici – 11.2. Misure minime per i trattamenti effettuati senza l’ausilio di strumenti elettronici – 12. Adempimenti – 13. Trasferimento dei dati all’estero

INDICE

1. Premessa

Come già si è avuto modo di accennare nel capitolo precedente, l’Italia ha dato attuazione alla direttiva 2002/58/CE sulle comunicazioni elettroniche con una disciplina inserita nel recente Codice in materia di protezione dei dati personali (D.L.vo 30 giugno 2003 n. 196)[32].

Detto “testo unico”, entrato in vigore il primo gennaio 2004, abroga e sostituisce, tra l’altro, la nota legge 675/1996 sulla privacy[33] nonché il già ricordato D.L.vo 171/1998 di attuazione della direttiva 97/66/CE.

L’art. 184 del provvedimento stabilisce infatti che “Quando leggi, regolamenti e altre disposizioni fanno riferimento a disposizioni comprese nella legge 31 dicembre 1996, n. 675, e in altre disposizioni abrogate dal presente codice, il riferimento si intende effettuato alle corrispondenti disposizioni del presente codice secondo la tavola di corrispondenza riportata in allegato”[34].

Il Codice della privacy si compone di tre parti, che contengono, rispettivamente:

I) le disposizioni generali (artt. 1-45) riguardanti le regole "sostanziali" della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici o privati (art. 6);

II) disposizioni particolari per specifici trattamenti (artt. 46-140) ad integrazione o eccezione alle disposizioni generali della parte I;

III) le disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio (artt. 141-186)[35].

Completano il testo normativo una serie di allegati:

- allegato A, relativo ai codici di condotta;

- allegato B, recante il disciplinare tecnico in materia di misure minime di sicurezza;

- allegato C, relativo ai trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (peraltro non ancora pubblicato).

Il titolo X (“Comunicazioni elettroniche”) della parte II del Codice (artt. 121-134) contiene la disciplina di attuazione della direttiva 2002/58/CE[36]. Stante quanto sopra, alle comunicazioni elettroniche si applicheranno dunque le disposizioni generali contenute nella parte I del Codice salvo quanto per esse diversamente previsto nel titolo X della parte II.

Prima di esaminare le norme specificamente dettate per le comunicazioni elettroniche si rende pertanto indispensabile soffermarsi preliminarmente sulle disposizioni generali di cui alla prima parte del Codice della privacy.

Sommario

2. Definizioni

Le definizioni valevoli ai fini del Codice della privacy vengono elencate come segue dall’art. 4 del provvedimento[37].

a) Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Rispetto alla definizione accolta dalla previgente L. 675/1996, val la pena sottolineare che è stato precisato espressamente che nella nozione di trattamento devono essere fatte rientrare anche le operazioni relative a dati non registrati in una banca dati, come definita dalla successiva lettera p).

b) Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Con riferimento ad Internet, possono dunque essere fatti rientrare nell’ampia nozione di “dato personale” rilevante ai fini del testo unico, ad esempio, il domain name, l’indirizzo IP, i cookie, il nickname e, come si vedrà meglio trattando di spamming, l’account di posta elettronica[38].

c) Dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato[39].

d) Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale[40].

e) Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del DPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale[41].

f) Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Rispetto alla definizione adottata dalla L. 675/1996, si prevede espressamente la possibilità che più soggetti siano co-titolari del medesimo trattamento.

g) Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

h) Incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile[42].

i) Interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

l) Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

m) Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

n) Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.

o) Blocco: la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento.

p) Banca di dati: qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

q) Garante: l’autorità di cui all’art. 153 del Codice, istituita dalla L. 675/1996.

Inoltre, come indicato nella relazione di accompagnamento al Codice, il secondo comma dell’art. 4 “contiene le definizioni necessarie per i trattamenti effettuati nell'ambito delle comunicazioni elettroniche (cfr. in particolare, Parte II, Titolo X), le quali riproducono pressoché pedissequamente le definizioni riportate nella direttiva n. 2002/58/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni elettroniche, nonché quelle, espressamente richiamate, della direttiva ‘quadro’ n. 2002/21/CE in materia di reti e servizi di comunicazione elettronica. Al riguardo va rilevato che la definizione di ‘comunicazione’ di cui alla citata direttiva 2002/58 è riferita, nel testo, alla ‘comunicazione elettronica’ per distinguerla dalla ‘comunicazione’ tout court di cui al comma 1 dell'articolo in commento”.

Queste dunque le definizioni per le comunicazioni elettroniche[43].

a) Comunicazione elettronica: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile[44].

b) Chiamata: la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale.

c) Reti di comunicazione elettronica: i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato.

d) Rete pubblica di comunicazioni: una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico.

e) Servizio di comunicazione elettronica: i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall’art. 2, lett. c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002[45].

f) Abbonato: qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate.

g) Utente: qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata.

h) Dati relativi al traffico: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione.

i) Dati relativi all’ubicazione: ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico.

l) Servizio a valore aggiunto: il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all’ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione.

m) Posta elettronica: messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell’apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.

Infine, e sempre ai fini del Codice, in materia di sicurezza si intende, altresì, per[46]:

a) Misure minime: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’art. 31.

b) Strumenti elettronici: gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

c) Autenticazione informatica: l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità.

d) Credenziali di autenticazione: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’ autenticazione informatica.

e) Parola chiave: componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.

f) Profilo di autorizzazione: l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti.

g) Sistema di autorizzazione: l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

Sommario

3. Principi generali. Oggetto e ambito di applicazione

Il Codice della privacy pone innanzitutto il principio fondamentale, informatore di tutto il testo unico, secondo cui chiunque ha diritto alla protezione dei dati personali che lo riguardano (art. 1).

Come affermato nella relazione di accompagnamento al provvedimento, l’art. 1 introduce nell’ordinamento giuridico italiano il "diritto alla protezione dei dati personali", diritto fondamentale della persona, autonomo rispetto al più generale diritto alla riservatezza già richiamato dall’art. 1 L. 675/1996, come chiarisce anche il successivo art. 2.

“Un diritto che tiene conto delle molteplici prerogative legate al trattamento dei dati personali, anche oltre quelle attinenti al riserbo e alla tutela della vita privata. In tal modo il legislatore italiano si adegua al quadro normativo comunitario che, nella Carta dei diritti del cittadino europeo, garantisce già tale diritto fondamentale (art. 8) che si accinge ad assumere una connotazione ancora più solenne nel quadro dei lavori della Convenzione europea”[47].

In base all’art. 2 (“Finalità”), il Codice mira a garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali[48]. Inoltre, il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui sopra nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento (principio di semplificazione nell’elevata tutela).

Secondo il principio di necessità nel trattamento dei dati introdotto dall’art. 3, i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possano essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

Il principio introdotto integra e completa, con riferimento alla configurazione stessa dell’ambiente in cui i dati sono trattati, il principio di pertinenza e non eccedenza dei dati trattati già operante in relazione al trattamento dei medesimi dati (cfr. art. 11). Si tratta di una regola di ordine generale, operante, benché non specificamente sanzionata, in specie per i sistemi e i programmi che verranno d’ora in poi predisposti[49].

Con riguardo all’oggetto e all’ambito di applicazione del Codice della privacy, l’art. 5[50] stabilisce che il testo unico disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.

Il Codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.

In caso di applicazione del Codice, il titolare del trattamento deve designare un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Il provvedimento conferma altresì che il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del Codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano d’altra parte anche al trattamento svolto per fini esclusivamente personali le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli artt. 15 e 31 del Codice[51].

Sommario

4. Diritti dell’interessato

Il titolo II della parte I (“Disposizioni generali”) del Codice della privacy (artt. 7-10) regola i diritti dell’interessato, come definito dal già esaminato art. 4.

In base all’art. 7 (“Diritto di accesso ai dati personali ed altri diritti”)[52], comma 1, del provvedimento, l'interessato ha dunque, innanzitutto, diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

In base al secondo comma della medesima disposizione, l’interessato ha inoltre diritto di ottenere l’indicazione:

a) dell’origine dei dati personali che lo riguardano;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Per quanto riguarda l’individuazione dei diritti dell'interessato, afferma la relazione di accompagnamento al Codice, rispetto alla normativa previgente l'art. 7, comma 1, lett. e) attribuisce, in più, all'interessato il diritto di conoscere i soggetti ai quali i dati possono essere comunicati o che ne possono comunque venire a conoscenza[53].

L’interessato ha altresì diritto di ottenere (art. 7, comma 3):

a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che le operazioni di cui alle precedenti lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

L’interessato ha, infine, diritto di opporsi, in tutto o in parte (art. 7, comma 4):

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale[54].

I successivi articoli del titolo I regolano poi l’esercizio dei diritti riconosciuti dall’art. 7.

Secondo quanto previsto dall’art. 8 (“Esercizio dei diritti”), dunque, i diritti di cui all’art. 7 appena esaminato sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile del trattamento, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo[55].

D’altra parte, i diritti di cui all'art. 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso al Garante ai sensi dell’art. 145 del Codice[56], se i trattamenti di dati personali sono effettuati nei casi elencati dal secondo comma dell’art. 8.

Tra le ipotesi ivi previste, vi è in particolare quella del trattamento effettuato da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto[57] per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397[58].

L’esercizio dei diritti di cui all’art. 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento (art. 8, comma 4).

L’art. 9 (“Modalità di esercizio”)[59] del Codice prevede che la richiesta rivolta al titolare o al responsabile ex art. 8 possa essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può d’altra parte individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche.

Quando riguarda l’esercizio dei diritti di cui all'art. 7, commi 1 e 2, sopra esaminati, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell’incaricato o del responsabile.

Nell'esercizio dei diritti di cui all'art. 7, l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia.

L'identità dell’interessato deve essere verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento (art. 9, comma 4)[60]. Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.

La richiesta di cui all’art. 7, commi 1 e 2, sopra esaminati, deve essere formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni.

Al fine di garantire l’effettivo esercizio dei diritti di cui all’art. 7, il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare (art. 10, comma 1)[61]:

a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili;

b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.

I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica.

Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato deve comprendere tutti i dati personali che riguardano l'interessato comunque trattati dal titolare[62].

Sommario

5. Regole generali per il trattamento dei dati

Il titolo III della parte I del D.L.vo 196/2003 detta le regole generali per il trattamento dei dati, distinguendo tra regole per tutti i trattamenti (capo I), regole ulteriori per i soggetti pubblici (capo II), regole ulteriori per privati ed enti pubblici economici (capo III)[63].

Modalità del trattamento e requisiti dei dati.

Con riguardo alle regole valide per tutti i trattamenti contenute nel capo I, l’art. 11, conformemente alla legge 675/1996[64], stabilisce innanzitutto che i dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

L’ultimo comma della disposizione in esame introduce il divieto di utilizzare – in qualsiasi modo – i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali.

Codici di deontologia e di buona condotta.

L’art. 12 disciplina i codici di deontologia e di buona condotta[65].

Al Garante viene infatti affidato il compito di promuovere, nell’ambito delle categorie interessate, nell’osservanza del principio di rappresentatività e tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d’Europa sul trattamento di dati personali, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, nonché di verificare la conformità di detti codici alle leggi e ai regolamenti, anche attraverso l’esame di osservazioni di soggetti interessati e di contribuire a garantirne la diffusione e il rispetto.

Si prevede che l’osservanza delle disposizioni contenute nei codici di deontologia e di buona condotta costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici[66].

Il ricorso ai codici di deontologia e di buona condotta pone dunque alcune rilevanti e delicate questioni. Tra queste, quella relativa all’applicabilità dei suddetti codici anche nei confronti di coloro che non li hanno sottoscritti[67].

Informativa.

Per ciò che concerne l’informativa che deve essere fornita all’interessato, l’art. 13 del Codice[68] stabilisce che quest’ultimo o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'art. 7 esaminati nel paragrafo precedente;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’art. 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando altresì il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7, è indicato tale responsabile[69].

Se i dati personali non sono raccolti presso l’interessato, l’informativa, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione (art. 13, comma 4)[70].

In ambito Internet, è utile richiamare anche, quale ausilio interpretativo, la raccomandazione 2/2001 relativa ai requisiti minimi per la raccolta di dati on-line nell’Unione europea adottata dal Gruppo europeo per la tutela delle persone con riguardo al trattamento dei dati personali[71].

Danni cagionati per effetto del trattamento.

L’art. 15 del Codice[72] disciplina l’importante aspetto dei danni cagionati per effetto del trattamento di dati personali, prevedendo che, come già disposto dalla previgente L. 675/1996, “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile”.

Come è noto, l’art. 2050 cod. civ. disciplina la responsabilità extracontrattuale per l’esercizio di attività pericolose, addossando a colui che voglia andare esente da responsabilità risarcitoria l’arduo onere di provare di avere adottato tutte le misure idonee a evitare il danno.

Infatti, il danneggiato avrà in questo caso soltanto l’onere di provare l’esistenza di un danno ed il nesso di causalità tra questo ed il comportamento del soggetto che si assume lo abbia provocato.

Problemi si pongono allorché si voglia stabilire in cosa consista effettivamente la prova liberatoria richiesta dall’art. 2050 cod. civ. con riferimento al trattamento di dati personali[73].

Viene altresì confermata[74] dalla disposizione del Codice in esame la risarcibilità, oltre che del danno patrimoniale (danno emergente e lucro cessante), anche del danno non patrimoniale in caso di violazione dell’art. 11 sopra illustrato.

Cessazione del trattamento.

In caso di cessazione, per qualsiasi causa, del trattamento, l’art. 16, comma 1, del Codice prevede che i dati debbano essere[75]:

a) distrutti;

b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;

c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;

d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'art. 12.

La cessione dei dati in violazione di quanto previsto dal comma 1, lett. b), dell’art. 16 o di altre disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti (art. 16, comma 2).

Sommario

6. Segue: regole ulteriori per i soggetti pubblici

Le disposizioni successive (artt. 18-22) dettano alcune regole ulteriori per i trattamenti effettuati da soggetti pubblici. Le disposizioni riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.

L’art. 18 pone innanzitutto alcuni principi applicabili a tutti i trattamenti di dati personali effettuati da soggetti pubblici[76].

Come già previsto dalla precedente disciplina, qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali (art. 18, comma 2). Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal Codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.

Salvo quanto previsto nella parte II del Codice della privacy per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, viene espressamente sancito che i soggetti pubblici non devono richiedere il consenso dell’interessato. Si osservano d’altra parte le disposizioni di cui all’art. 25 del testo unico in tema di comunicazione e diffusione dei dati[77].

L’art. 19[78] pone poi alcuni principi applicabili al solo trattamento di dati diversi da quelli sensibili e giudiziari, ai quali, come si vedrà, è riservata una disciplina apposita.

Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è dunque consentito, fermo restando quanto previsto dall’art. 18, comma 2 (svolgimento delle funzioni istituzionali), anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente[79].

L’art. 20 del Codice detta i principi applicabili al trattamento di dati sensibili da parte di soggetti pubblici[80], sancendo che detto trattamento è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite[81].

Con riguardo al trattamento di dati giudiziari da parte di soggetti pubblici, l’art. 21[82] prevede che esso sia consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.

L’art. 22 detta infine alcuni principi applicabili sia al trattamento di dati sensibili che al trattamento di dati giudiziari[83].

I soggetti pubblici devono conformare il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.

Nel fornire l’informativa di cui all’art. 13 del Codice, esaminata nel paragrafo precedente, i soggetti pubblici devono fare espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.

I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possano essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.

I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.

In applicazione dell'art. 11, comma 1, lett. c), d) ed e), sopra illustrato, i soggetti pubblici sono tenuti a verificare periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa[84].

I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, devono essere trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.

I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui sopra anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.

I dati idonei a rivelare lo stato di salute non possono essere diffusi.

Rispetto ai dati sensibili e giudiziari indispensabili ai sensi delle norme illustrate, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.

I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psico-attitudinali volti a definire il profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell'art. 14[85], sono effettuati solo previa annotazione scritta dei motivi.

In ogni caso, le operazioni e i trattamenti di cui sopra, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge[86].

Sommario

7. Segue: il consenso dell’interessato

Il capo III (artt. 23-27) del titolo III della parte I del Codice, come già accennato, reca regole ulteriori per i privati ed enti pubblici economici[87].

L’art. 23 conferma innanzitutto il principio secondo cui, normalmente, il trattamento di dati personali da parte di privati od enti pubblici economici non può che avvenire in base al consenso espresso dell’interessato[88].

In ambito Internet, ciò comporta in primo luogo il problema di stabilire se la manifestazione del consenso attraverso la compilazione di un form on-line, con pressione del tasto “accetto” o simile (meccanismo del c.d. point and click), possa essere considerata quale comportamento espresso del soggetto o, al contrario, debba essere considerata un semplice comportamento concludente.

A questo proposito, come visto nel capitolo I, la direttiva 2002/58/CE (considerando n. 17) precisa che il “consenso dell'utente o dell'abbonato, senza considerare se quest'ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva 95/46/ CE. Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all'utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un'apposita casella nel caso di un sito Internet”.

Pare dunque ragionevole ritenere, allo stato attuale, la comunicazione “via bit” un segno di linguaggio, come tale idonea a configurare una dichiarazione espressa di volontà[89]. Altrettanto può dirsi per un consenso manifestato nel testo di una e-mail, che dovrà considerarsi “espresso” ai fini della normativa sulla privacy.

Come già previsto dalla previgente disciplina, il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'art. 13, sopra illustrato (art. 23, comma 3). Il consenso deve essere manifestato in forma scritta quando il trattamento riguarda dati sensibili (art. 23, comma 4).

L’art. 24 del provvedimento in esame si occupa d’altra parte dei casi nei quali il trattamento di dati comuni può essere effettuato a prescindere dal consenso dell’interessato, riprendendo in buona parte quanto già disposto dalla L. 675/1996, con alcune novità di rilievo[90].

Il consenso non è dunque richiesto, oltre che nei casi specificamente previsti nella parte II del Codice, quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato[91];

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati[92];

d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale[93];

e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo[94];

f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato;

h) con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’art. 13[95];

i) è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A) del Codice, per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’art. 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

Sommario

8. Segue: comunicazione e diffusione dei dati

La comunicazione e la diffusione dei dati trattati sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria (art. 25)[96] e salvi particolari divieti previsti dalla legge:

a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell'art. 11, comma 1, lett. e), vale a dire “un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”;

b) per finalità diverse da quelle indicate nella notificazione[97] del trattamento, ove prescritta.

E’ fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’art. 58, comma 2 del Codice, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

Sommario

9. Segue: dati sensibili e semisensibili

L’art. 26, comma 1, del Codice della privacy, confermando sostanzialmente la disciplina previgente, dispone che i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti[98].

Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto.

Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare.

L’art. 26, comma 1, del Codice, appena illustrato, non si applica al trattamento:

a) dei dati relativi agli aderenti alle confessioni religiose[99] e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. D’altra parte il Codice prevede che le confessioni religiose determinino idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;

b) dei dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.

La disposizione in esame elenca altresì un’altra serie di ipotesi in cui i dati sensibili possono essere oggetto di trattamento anche senza consenso, ma previa autorizzazione del Garante; ciò precisamente accade:

a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’art. 13 del Codice;

b) quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’art. 82, comma 2[100];

c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento[101];

d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’art. 111 del Codice[102].

L’ultimo comma dell’art. 26 prevede infine un generale divieto di diffusione per i dati idonei a rivelare lo stato di salute.

Con riguardo alla categoria dei dati semisensibili, introdotta nell’ordinamento dal D.L.vo 461/2001, l’art. 17[103] del Codice (“Trattamento che presenta rischi specifici”) dispone inoltre che “il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti”.

Le misure e gli accorgimenti di cui sopra sono prescritti dal Garante in applicazione dei principi sanciti dal Codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare[104].

Sommario

10. Soggetti che effettuano il trattamento

Il titolo IV (artt. 28-30) della parte I del Codice della privacy detta alcune norme per i soggetti che effettuano il trattamento: titolare, responsabile e incaricato del trattamento, così come previamente definiti dall’art. 4 del provvedimento[105].

Viene innanzitutto specificato che, quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza (art. 28).

Ai sensi dell’art. 29, il responsabile del trattamento[106], la cui nomina da parte del titolare rimane facoltativa, se designato, deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

Viene espressamente previsto che i compiti affidati al responsabile siano analiticamente specificati per iscritto dal titolare.

Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui sopra e delle proprie istruzioni.

L’art. 30 stabilisce infine che le operazioni di trattamento possono essere effettuate solo da incaricati[107] che operino sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

La designazione degli incaricati deve essere effettuata per iscritto e individuare puntualmente l’ambito del trattamento consentito. Viene specificato che si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.

Sommario

11. Sicurezza dei dati e dei sistemi

Il titolo V della parte I del Codice della privacy (“Sicurezza dei dati e dei sistemi”, artt. 31-36) detta le disposizioni relative alle misure di sicurezza volte a proteggere i dati personali oggetto di trattamento[108].

L’art. 31, nel riprodurre la previgente normativa, pone innanzitutto fondamentali obblighi di sicurezza in capo al soggetto che effettua il trattamento di dati personali[109].

Secondo la disposizione infatti, i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

L’art. 32 del Codice detta poi alcune disposizioni specifiche per “particolari titolari”. Il riferimento va oggi, in attuazione della direttiva 2002/58/CE, ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico[110].

Con riguardo alle misure minime di sicurezza che devono essere adottate, l’art. 33[111] del Codice prevede innanzitutto che, nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate dalle disposizioni che si vanno ad illustrare (artt. 34-36) o ai sensi dell’art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

Il rispetto delle prescrizioni sulle misure minime di sicurezza, come si vedrà meglio nel prosieguo, eviterà al titolare del trattamento di incorrere nel reato di cui all’art. 169 del Codice.

Deve rilevarsi d’altra parte che, per evitare anche una eventuale responsabilità risarcitoria sul piano civile, il titolare non dovrà limitarsi all’osservanza delle norme relative alle misure minime, ma dovrà altresì dimostrare di avere adottato tutte le “idonee e preventive misure di sicurezza” di cui all’art. 31 del testo unico, sopra illustrato, tali da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta[112].

La nuova disciplina va a sostituire pertanto quella di cui al precedente art. 15, comma 2, L. 675/1995 e relativa normativa di attuazione, contenuta nell’altrettanto noto e discusso DPR 318/1999.

La nuova normativa, analogamente alla precedente, distingue tra trattamenti effettuati con strumenti elettronici e trattamenti effettuati senza l’ausilio di strumenti elettronici.

11.1. Misure minime per i trattamenti effettuati con strumenti elettronici

Con riferimento ai trattamenti effettuati con strumenti elettronici, occorre rilevare innanzitutto che scompare nel Codice della privacy la non felice distinzione tra elaboratori non accessibili da altri elaboratori o terminali ed elaboratori accessibili in rete[113].

L’art. 34 prevede che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B)[114] del Codice, le seguenti misure minime[115]:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione[116];

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Le modalità tecniche relative alle misure minime di sicurezza nel caso di trattamento con strumenti elettronici, da adottarsi a cura del titolare, del responsabile ove designato e dell’incaricato[117], vengono dunque poi specificate come segue nell’allegato B) del Codice della privacy.

Sistema di autenticazione informatica.

Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

Le credenziali di autenticazione consistono:

- in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure

- in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure

- in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave[118].

Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.

Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento[119].

Le disposizioni sul sistema di autenticazione di cui sopra e quelle sul sistema di autorizzazione di cui appresso non si applicano ai trattamenti dei dati personali destinati alla diffusione[120].

Sistema di autorizzazione.

Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso deve essere utilizzato un sistema di autorizzazione.

I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza.

Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Con riguardo alla protezione dai virus informatici, si prevede che i dati personali debbano essere protetti contro il rischio di intrusione e dell’azione di tali programmi, di cui all’art. 615quinquies del codice penale[121], mediante l’attivazione di idonei strumenti elettronici (anti-virus) da aggiornare con cadenza almeno semestrale.

Si prevede inoltre che gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti (c.d. patch) debbano essere effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale[122].

Infine, con riguardo al back-up dei dati, si prevede che siano impartite istruzioni organizzative e tecniche che contemplino il salvataggio dei dati con frequenza almeno settimanale.

Documento programmatico sulla sicurezza.

Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari è tenuto a redigere anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

1) l’elenco dei trattamenti di dati personali;

2) la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;

3) l’analisi dei rischi che incombono sui dati;

4) le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

5) la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;

6) la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare[123];

7) la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all’esterno della struttura del titolare;

8) per i dati personali idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari e gli esercenti le professioni sanitarie, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Il documento programmatico sulla sicurezza è dunque un resoconto delle misure di sicurezza adottate dal titolare del trattamento di dati personali al fine di ridurre al minimo il verificarsi di qualsiasi tipo di evento dannoso o pericoloso a carico degli stessi dati personali[124].

La nuova normativa (artt. 33 e ss. del Codice e relativo all. B) pone problemi interpretativi con riguardo ai soggetti tenuti alla redazione del documento programmatico sulla sicurezza.

Mentre infatti l’art. 34 del Codice prevede la tenuta di un aggiornato documento programmatico per i trattamenti effettuati con strumenti elettronici – senza distinguere tra dati comuni e dati sensibili – l’all. B ora in esame prevede l’adozione del documento soltanto per coloro che effettuano trattamenti di dati sensibili o giudiziari[125].

A parere di chi scrive, la lettura congiunta dell’art. 34 del Codice e dell’all. B) consente di affermare che, in base alla normativa in vigore dal primo gennaio 2004, tenuti alla redazione del documento programmatico sulla sicurezza siano i titolari di trattamenti di dati sensibili o giudiziari effettuati con l’ausilio di strumenti elettronici.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari.

I dati sensibili o giudiziari devono essere protetti contro l’accesso abusivo, di cui all’ art. 615ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici[126].

Sono inoltre impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati, al fine di evitare accessi non autorizzati e trattamenti non consentiti.

I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

Sono infine adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni[127].

Misure di tutela e garanzia.

Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato, che ne attesti la conformità alle disposizioni del disciplinare tecnico in esame.

Il titolare deve riferire, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

11.2. Misure minime per i trattamenti effettuati senza l’ausilio di strumenti elettronici

Per quanto riguarda i trattamenti effettuati senza l’ausilio di strumenti elettronici, l’art. 35 del Codice prescrive che detta tipologia di trattamento è consentita solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Ancora una volta dunque, le specifiche modalità di adozione delle misure minime, a cura del titolare, del responsabile, ove designato, e dell’incaricato, vengono poi dettate dall’allegato B) del Codice, il quale stabilisce in proposito quanto segue.

Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.

Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate.

Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate.

Sommario

12. Adempimenti

Il titolo VI della parte I del Codice della privacy (artt. 37-41) disciplina gli “adempimenti” posti a carico del titolare del trattamento di dati personali.

Notificazione.

Innanzitutto, in ordine alla notificazione del trattamento, deve rilevarsi che l’intento di semplificazione perseguito dal legislatore ha condotto all’inversione della regola rispetto alla normativa precedente[128].

L’art. 37, comma 1, del testo unico in esame sancisce infatti l’obbligo per il titolare di notificare al Garante il trattamento di dati personali cui intende procedere solo allorché il trattamento riguardi una delle ipotesi tassativamente elencate dalla medesima disposizione[129].

Tra queste, si ricordano in particolare quelle relative a:

- dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (art. 37, comma 1, lett. a));

- dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti (art. 37, comma 1, lett. d)).

Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’art. 17 del Codice.

Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui sopra, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione.

La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all’estero dei dati.

Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio[130]. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.

Con riguardo alle modalità con le quali deve essere eseguita la notificazione del trattamento, ove richiesta, l’art. 38 prevede che essa sia presentata al Garante prima dell’inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate[131].

La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione[132]. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali.

Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.

Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente.

Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell’art. 37 sopra esaminato è in ogni caso tenuto a fornire le notizie contenute nel modello di cui sopra a chiunque ne faccia richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque[133].

Autorizzazioni.

Come già previsto, ai sensi dell’art. 40, le disposizioni del Codice che prevedono un’autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate nella Gazzetta ufficiale della Repubblica italiana (c.d. autorizzazioni generali)[134].

Ai sensi del successivo art. 41[135], il titolare del trattamento che rientra nell’ambito di applicazione di un’autorizzazione rilasciata ai sensi dell’art. 40 non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento che intende effettuare è conforme alle relative prescrizioni. Se una richiesta di autorizzazione riguarda un trattamento autorizzato ai sensi dell’art. 40 il Garante può provvedere comunque sulla richiesta, se le specifiche modalità del trattamento lo giustificano[136].

Sommario

13. Trasferimento dei dati all’estero

Il titolo VII della parte I del Codice della privacy (artt. 42-45) reca la disciplina del trasferimento dei dati all’estero[137].

Con riferimento alla Rete, è interessante notare preliminarmente come, secondo quanto precisato dalla Corte di Giustizia Europea con sentenza 6 novembre 2003 (C-101/01), l'inserimento da parte di una persona che si trovi in uno Stato membro di dati personali in una pagina Internet, caricata presso un web hosting stabilito nello Stato stesso o in un altro Stato membro, così da rendere accessibili detti dati a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi, non costituisce un "trasferimento verso un paese terzo di dati" ai sensi dell'art. 25 della direttiva 95/46/CE[138].

Ciò premesso, l’art. 42 del Codice della Privacy stabilisce, con riferimento ai trasferimenti all’interno dell’Unione europea, che le disposizioni del testo unico non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell’Unione europea, fatta salva l’adozione, in conformità allo stesso Codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.

Il successivo art. 43 enuncia invece quali sono i trasferimenti consentiti rispetto a Paesi non appartenenti all’Unione europea[139].

Ai sensi della norma citata, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito solo quando:

a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;

c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli artt. 20 e 21;

d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo[140];

e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia;

g) è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’art. 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;

h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

Inoltre, in base all’art. 44[141], il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato:

a) individuate dal Garante anche in relazione a garanzie prestate con un contratto;

b) individuate con le decisioni previste dagli artt. 25, par. 6, e 26, par. 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.

Fuori dei casi di cui agli artt. 43 e 44 sopra esaminati, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate a questo proposito anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza (art. 45)[142].

Sommario

CAPITOLO III

LA DISCIPLINA DI ATTUAZIONE DELLA DIRETTIVA 2002/58/CE SULLE COMUNICAZIONI ELETTRONICHE

SOMMARIO: 1. Premessa. Ambito di applicazione e definizioni – 2. Sicurezza – 3. Riservatezza delle comunicazioni – 4. Dati relativi al traffico – 5. Fatturazione dettagliata – 6. Identificazione della linea – 7. Dati relativi all’ubicazione – 8. Chiamate di disturbo e di emergenza – 9. Trasferimento automatico della chiamata – 10. Elenchi di abbonati – 11. Comunicazioni indesiderate e spamming – 11.1. Le comunicazioni indesiderate (unsolicited communications) nella direttiva 2002/58/CE – 11.2. La disciplina contenuta nel D.L.vo 171/1998 di attuazione della direttiva 97/66/CE – 11.3. L’art. 13 della direttiva 2002/58/CE – 11.4. L’art. 130 del Codice della privacy – 11.5. Codice di deontologia e di buona condotta per il marketing diretto – 11.6. Altre norme rilevanti in materia di spamming – 12. Segue: il provvedimento generale sullo spamming del Garante per la protezione dei dati personali – 13. Segue: le regole della Netiquette, l’attività della Naming Authority; iniziative e responsabilità dei provider – 14. Informazioni ad abbonati e utenti – 15. Conservazione di dati di traffico per altre finalità – 16. Internet e reti telematiche – 17. Videosorveglianza

INDICE

1. Premessa. Ambito di applicazione e definizioni

Come già rilevato, in base all’art. 6 del Codice della privacy, le disposizioni contenute nella parte I del provvedimento, illustrate nel precedente capitolo, sono destinate a trovare applicazione rispetto a tutti i trattamenti di dati personali, fatte salve le disposizioni integrative o modificative della parte II relative a determinati trattamenti.

Per quel che qui interessa, occorre pertanto prendere ora in esame le norme del testo unico dettate specificamente per la materia delle comunicazioni elettroniche[143].

Il titolo X della parte II del Codice (artt. 121-134) reca infatti la disciplina italiana di attuazione della direttiva 2002/58/CE sulle comunicazioni elettroniche, esaminata nel capitolo I; disciplina che sostituisce, come più volte ricordato, quella già contenuta nel previgente D.L.vo 171/1998 di attuazione dell’abrogata direttiva 97/66/CE[144].

Ai sensi dell’art. 121 del provvedimento (“Servizi interessati”), le disposizioni del titolo X della parte II si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni[145].

Con riferimento alle definizioni valevoli ai fini della disciplina, si rimanda a quanto già detto nel capitolo precedente[146]. Una precisazione deve però essere fatta a proposito delle “reti di comunicazione elettronica”, definite dall’art. 4 del Codice come “i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato”.

È stato infatti osservato in proposito che “La definizione è particolarmente ampia tanto da ricomprendere elementi tecnicamente attestati su livelli diversi e che sembra difficile poter equiparare in termini normativi. Così vengono messi sullo stesso piano gli apparati di trasmissione, le apparecchiature di commutazione o instradamento e le infrastrutture. Queste ultime distinte ancora in ‘sistemi di trasmissione’ e ‘reti’ tout-court. Inoltre, nell’elenco delle reti oggetto di attenzione legislativa viene inclusa – con seria perplessità dell’interprete – anche l’internet” (A. Monti)[147].

Dalla lettura della norma definitoria sopra richiamata pare dunque di capire che per il legislatore Internet (più propriamente: l’internet) sarebbe un mezzo di trasmissione analogo a reti a commutazione di circuito o di pacchetto; cosa che però non corrisponde alla realtà, considerato che l’internet non è una rete fisica bensì una suite di protocolli, come tale utilizzabile su di una pluralità di reti tecnologicamente diverse[148].

Sommario

2. Sicurezza

Contrariamente agli altri aspetti della disciplina oggetto della direttiva 2002/58/CE, la sicurezza in materia di comunicazioni elettroniche viene specificamente regolata già dalla parte I del Codice, nell’ambito delle disposizioni sulla “sicurezza dei dati e dei sistemi” valide per tutti i trattamenti, esaminate nel capitolo precedente (artt. 31-36 del Codice e relativo disciplinare tecnico)[149].

Con particolare riferimento, dunque, ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico, l’art. 32[150] prevede che costoro siano tenuti ad adottare, ai sensi dell’art. 31, idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei loro servizi, l’integrità dei dati relativi al traffico, dei dati relativi all’ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita.

Quando la sicurezza del servizio o dei dati personali richiede anche l’adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico deve adottare tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall’Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente (art. 32, comma 2).

Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico è tenuto inoltre ad informare gli abbonati e, ove possibile, gli utenti, dell’eventuale sussistenza di un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi delle disposizioni sopra illustrate, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all’Autorità per le garanzie nelle comunicazioni (art. 32, comma 3).

L’art. 32 ripropone dunque, pressoché integralmente, salvo per la terminologia che è adeguata alla direttiva 2002/58/CE, l’art. 2 dell’abrogato D.L.vo 171/1998. La norma, in attuazione della specifica previsione contenuta nella direttiva sulle comunicazioni elettroniche, prevede inoltre, come sopra visto, che le misure debbano essere adottate anche per salvaguardare l’integrità dei dati trattati e delle comunicazioni elettroniche contro il rischio di intercettazione o altra abusiva cognizione ed utilizzazione[151].

Sommario

3. Riservatezza delle comunicazioni

Ai sensi dell’art. 122 (“Informazioni raccolte nei riguardi dell’abbonato o dell’utente”)[152], comma 1, del Codice, salvo quanto previsto dal successivo comma 2, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

Al codice di deontologia di cui all’art. 133 del Codice[153] è demandato poi il compito di individuare i presupposti e i limiti entro i quali l’uso della rete nei modi di cui sopra, per determinati scopi legittimi relativi alla memorizzazione tecnica per il tempo strettamente necessario alla trasmissione della comunicazione o a fornire uno specifico servizio richiesto dall’abbonato o dall’utente, è consentito al fornitore del servizio di comunicazione elettronica nei riguardi dell’abbonato e dell’utente che abbiano espresso il consenso sulla base di una previa informativa ai sensi dell’art. 13[154] che indichi analiticamente, in modo chiaro e preciso, le finalità e la durata del trattamento (art. 122, comma 2).

Si ricorda che, secondo quanto previsto dall’art. 12 del testo unico[155], il rispetto delle disposizioni contenute nei codici di deontologia e buona condotta costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti pubblici e privati.

Con l’articolo in parola, il legislatore italiano ha inteso dunque dare attuazione alla corrispondente disposizione contenuta nell’art. 5 della direttiva 2002/58/CE avente ad oggetto, in particolare, come visto nel capitolo I, web bugs, cookies e spyware.

Occorre però sin d’ora evidenziare, come si vedrà meglio nel prosieguo, che la violazione dell’art. 122 del Codice è sprovvista di sanzione, di tipo amministrativo o penale, ferma restando l’eventuale responsabilità civile in ordine al risarcimento del danno, ai sensi dell’art. 15 del testo unico, in capo al titolare del trattamento, da valutarsi anche con riferimento al previsto codice di deontologia[156].

Sommario

4. Dati relativi al traffico

Con parere del 29/01/2003, il Gruppo europeo di lavoro per la tutela dei dati personali, preso atto che “Sono emerse indicazioni dell’esistenza di divergenze nella prassi seguita dalle società di comunicazioni elettroniche negli Stati membri riguardo ai periodi di memorizzazione dei dati relativi al traffico”, rilevava che “è quindi importante adottare misure per interpretare in maniera armonizzata il periodo limitato durante il quale i fornitori di servizi di telecomunicazioni sono autorizzati a trattare i dati relativi al traffico a fini di fatturazione e di pagamenti di interconnessione”.

Il Gruppo ritiene pertanto che un’interpretazione ragionevole delle direttive in tema di tutela dei dati è quella secondo la quale un periodo di memorizzazione normale ai fini della fatturazione dura un massimo di 3-6 mesi, fatta eccezione per casi particolari di controversie in cui i dati possono essere sottoposti a trattamento per un periodo più lungo. Inoltre, prosegue il Gruppo, possono essere sottoposti a trattamento soltanto i dati relativi al traffico che sono adeguati, pertinenti e non eccedenti ai fini della fatturazione e dei pagamenti di interconnessione. Gli altri dati relativi al traffico devono essere cancellati[157].

Secondo quanto sancito dall’art. 123 (“Dati relativi al traffico”)[158], comma 1, del Codice della privacy, i dati relativi al traffico riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico devono essere cancellati o resi anonimi quando non più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei successivi commi 2, 3 e 5.

Il comma 2 della disposizione richiamata prevede che il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l’abbonato, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale.

Ai sensi del successivo comma tre, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui sopra anche nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, a condizione che l’abbonato o l’utente cui i dati si riferiscono abbiano manifestato il proprio consenso, che rimane, in ogni caso, revocabile in ogni momento.

Come spiega la relazione di accompagnamento, rispetto alla previgente disposizione (art. 4, comma 3, D.L.vo 171/1998), il comma 3 è integrato con la previsione che il consenso espresso dall’abbonato o dall’utente al trattamento dei dati personali a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, può essere revocato in ogni momento.

Si prevede inoltre che nel fornire l’informativa di cui all’art. 13 del Codice[159] il fornitore del servizio informi l’abbonato o l’utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3 sopra illustrati (comma 4).

Come si legge nella relazione di accompagnamento, il comma 4, interamente innovativo, introduce una specifica garanzia di trasparenza per l’abbonato o per l’utente, precisando che nel fornire l’informativa di cui all’art. 13, il fornitore del servizio, in relazione ai trattamenti appena descritti, deve informare espressamente l’abbonato o l’utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata dei medesimi trattamenti (cfr. art. 6, par. 4, direttiva 2002/58/CE).

Il trattamento dei dati personali relativi al traffico è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’art. 30[160] sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per conto di clienti, dell’accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata (art. 123, comma 5).

L’Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in particolare, all’interconnessione o alla fatturazione (comma 6).

Sommario

5. Fatturazione dettagliata

Secondo quanto previsto dall’art. 124 (“Fatturazione dettagliata”)[161], comma 1, del Codice, l’abbonato ha diritto di ricevere in dettaglio, a richiesta e senza alcun aggravio di spesa, la dimostrazione degli elementi che compongono la fattura relativi, in particolare, alla data e all’ora di inizio della conversazione, al numero selezionato, al tipo di numerazione, alla località, alla durata e al numero di scatti addebitati per ciascuna conversazione.

Il fornitore del servizio di comunicazione elettronica accessibile al pubblico è tenuto inoltre ad abilitare l’utente ad effettuare comunicazioni e a richiedere servizi da qualsiasi terminale, gratuitamente ed in modo agevole, avvalendosi per il pagamento di modalità alternative alla fatturazione, anche impersonali, quali carte di credito o di debito o carte prepagate (art. 124, comma 2). Nella documentazione inviata all’abbonato relativa alle comunicazioni effettuate non sono evidenziati i servizi e le comunicazioni di cui sopra, né le comunicazioni necessarie per attivare le modalità alternative alla fatturazione.

Nella fatturazione all’abbonato non sono evidenziate le ultime tre cifre dei numeri chiamati. Ad esclusivi fini di specifica contestazione dell’esattezza di addebiti determinati o riferiti a periodi limitati, è d’altra parte previsto il diritto per l’abbonato di richiedere la comunicazione dei numeri completi delle comunicazioni in questione.

Il Garante per la protezione dei dati personali, accertata l’effettiva disponibilità delle modalità alternative di cui all’esaminato art. 124, comma 2, può autorizzare il fornitore ad indicare nella fatturazione i numeri completi delle comunicazioni.

L’art. 124 del testo unico, dunque, conferma la previsione del "mascheramento" sulle fatture delle ultime tre cifre dei numeri chiamati, ma in linea con il progressivo adeguamento dei fornitori alla previsione comunitaria, a seguito dell’ampia diffusione in Italia dei mezzi di pagamento alternativi, prevede altresì che il Garante, accertata l’effettiva disponibilità di tali mezzi, possa autorizzare il fornitore ad indicare nella fatturazione i numeri completi delle comunicazioni.

Sommario

6. Identificazione della linea

Ai sensi dell’art. 125 (“Identificazione della linea”)[162], comma 1, del Codice della privacy, se è disponibile la presentazione dell’identificazione della linea chiamante, il fornitore del servizio di comunicazione elettronica accessibile al pubblico è tenuto ad assicurare all’utente chiamante la possibilità di impedire, gratuitamente e mediante una funzione semplice, la presentazione dell’identificazione della linea chiamante, chiamata per chiamata. L’abbonato chiamante deve avere tale possibilità linea per linea.

Se è disponibile la presentazione dell’identificazione della linea chiamante, il fornitore del servizio di comunicazione elettronica accessibile al pubblico deve assicurare inoltre all’abbonato chiamato la possibilità di impedire, gratuitamente e mediante una funzione semplice, la presentazione dell’identificazione delle chiamate entranti (art. 125, comma 2).

Se è disponibile la presentazione dell’identificazione della linea chiamante e tale indicazione avviene prima che la comunicazione sia stabilita, il fornitore del servizio di comunicazione elettronica accessibile al pubblico è tenuto altresì ad assicurare all’abbonato chiamato la possibilità, mediante una funzione semplice e gratuita, di respingere le chiamate entranti se la presentazione dell’identificazione della linea chiamante è stata eliminata dall’utente o abbonato chiamante (art. 125, comma 3).

Se è invece disponibile la presentazione dell’identificazione della linea collegata, il fornitore del servizio di comunicazione elettronica accessibile al pubblico deve assicurare all’abbonato chiamato la possibilità di impedire, gratuitamente e mediante una funzione semplice, la presentazione dell’identificazione della linea collegata all’utente chiamante (art. 125, comma 4).

Le disposizioni di cui all’art. 125, comma 1, sopra esaminate si applicano anche alle chiamate dirette verso Paesi non appartenenti all’Unione europea. Le disposizioni di cui ai successivi commi 2, 3 e 4 si applicano anche alle chiamate provenienti da tali Paesi.

Se è disponibile la presentazione dell’identificazione della linea chiamante o di quella collegata, si prevede infine che il fornitore del servizio di comunicazione elettronica accessibile al pubblico sia tenuto ad informare gli abbonati e gli utenti dell’esistenza di tale servizio e delle possibilità previste ai sensi delle disposizioni dell’art. 125 sopra illustrate.

L’art. 125 riproduce dunque pressoché pedissequamente l’art. 6 del D.L.vo 171/1998, come integrato dall’art. 22 del D.L.vo 467/2001.

Sommario

7. Dati relativi all’ubicazione

L’art. 126 (“Dati relativi all’ubicazione”)[163] del Codice della privacy, con una previsione innovativa, stabilisce che i dati relativi all’ubicazione diversi dai dati relativi al traffico[164], riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente o l’abbonato abbia manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.

Il fornitore del servizio, prima di richiedere il consenso, deve informare gli utenti e gli abbonati sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto (art. 126, comma 2).

L’utente e l’abbonato che manifestano il proprio consenso al trattamento dei dati relativi all’ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni (art. 126, comma 3).

Il trattamento dei dati relativi all’ubicazione diversi dai dati relativi al traffico, ai sensi delle norme appena illustrate, è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’art. 30[165], sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata.

Sommario

8. Chiamate di disturbo e di emergenza

Ai sensi dell’art. 127 (“Chiamate di disturbo e di emergenza”)[166], comma 1, del Codice della privacy, l’abbonato che riceve chiamate di disturbo può richiedere che il fornitore della rete pubblica di comunicazioni o del servizio di comunicazione elettronica accessibile al pubblico renda temporaneamente inefficace la soppressione della presentazione dell’identificazione della linea chiamante[167] e conservi i dati relativi alla provenienza della chiamata ricevuta. L’inefficacia della soppressione può essere disposta per i soli orari durante i quali si verificano le chiamate di disturbo e per un periodo non superiore a quindici giorni.

La richiesta deve essere formulata per iscritto dall’abbonato e specificare le modalità di ricezione delle chiamate di disturbo. Nel caso in cui sia preceduta da una richiesta telefonica, detta richiesta scritta deve essere inoltrata nelle successive quarantotto ore.

I dati conservati in virtù di quanto sopra possono essere comunicati all’abbonato che dichiari di utilizzarli per esclusive finalità di tutela rispetto a chiamate di disturbo. Per i servizi oggetto della disposizione in esame, inoltre, il fornitore è tenuto ad assicurare procedure trasparenti nei confronti degli abbonati e può richiedere un contributo spese non superiore ai costi effettivamente sopportati.

Con riguardo alle chiamate di emergenza, l’art. 127, comma 4, prevede che il fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico predisponga procedure trasparenti per garantire, linea per linea, l’inefficacia della soppressione dell’identificazione della linea chiamante, nonché, ove necessario, il trattamento dei dati relativi all’ubicazione[168], nonostante il rifiuto o il mancato consenso temporanei dell’abbonato o dell’utente, da parte dei servizi abilitati in base alla legge a ricevere chiamate d’emergenza. Detti servizi sono individuati con decreto del Ministro delle comunicazioni, sentiti il Garante per la protezione dei dati personali e l’Autorità per le garanzie nelle comunicazioni.

L’art. 127 conferma dunque le analoghe previsioni già contenute nell’art. 7 del D.L.vo 171/1998 (come modificato dall’art. 23 D.L.vo 467/2001), introducendo altresì alcune precisazioni finalizzate a rendere più agevole l’applicazione della norma.

Sommario

9. Trasferimento automatico della chiamata

Con riguardo al trasferimento automatico della chiamata, l’art. 128 del Codice della privacy, confermando quanto già stabilito dal D.L.vo 171/1998, prescrive al fornitore di un servizio di comunicazione elettronica accessibile al pubblico di adottare le misure necessarie per consentire a ciascun abbonato, gratuitamente e mediante una funzione semplice, di poter bloccare il trasferimento automatico delle chiamate verso il proprio terminale effettuato da terzi[169].

Sommario

10. Elenchi di abbonati

L’art. 129 (“Elenchi di abbonati”)[170] del Codice della privacy, nel confermare quanto già previsto, attribuisce al Garante per la protezione dei dati personali il compito di individuare con proprio provvedimento, in cooperazione con l’Autorità per le garanzie nelle comunicazioni[171], le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di entrata in vigore del Codice.

Il provvedimento di cui sopra individua altresì idonee modalità per la manifestazione del consenso all’inclusione negli elenchi e, rispettivamente, all’utilizzo dei dati per le finalità di cui all’art. 7, comma 4, lett. b), in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca dell’abbonato per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri.

L’art. 7, comma 4, lett. b), richiamato dall’art. 129, come visto nel capitolo II, concerne il trattamento di dati personali a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale[172].

Sommario

11. Comunicazioni indesiderate e spamming

Il termine spamming, come noto, viene usato per indicare l’invio di comunicazioni elettroniche non richieste ad un lungo elenco di destinatari[173].

Il contenuto dei messaggi elettronici in questione può essere vario. Essi hanno per lo più carattere pubblicitario, ma non solo: possono avere anche, ad esempio, finalità di propaganda politica o di proselitismo religioso.

In particolare, i messaggi pubblicitari di posta elettronica inviati con la tecnica dello spamming sono definiti anche UCE, acronimo di Unsolicited Commercial e-mail (e-mail non richieste di carattere commerciale)[174].

Lo spamming usa diversi canali: quello preferenziale è la posta elettronica, ma può impiegare anche qualsiasi altro mezzo che consenta di raggiungere un alto numero di destinatari (ad esempio newsgroup, chat, mailing list, SMS).

I c.d. spammer, coloro che inviano questo genere di messaggi-spazzatura a grandi liste di destinatari, reperiscono gli indirizzi e-mail necessari all’operazione con diversi metodi: acquistando “pacchetti” di indirizzi da siti che richiedono la registrazione dell’utente; acquisendoli da elenchi presenti in rete, dai vari newsgroup e forum o da siti sulle cui pagine figurano indirizzi e-mail.

L’invio di grandi quantità di e-mail non sollecitate comporta dispendi di tempo e di denaro per chi lo subisce. Nel caso del c.d. mail bombing, inoltre, può prodursi il rallentamento o perfino il blocco dei sistemi degli Internet Service Provider[175].

Le norme giuridiche italiane rilevanti in materia sono oggi, innanzitutto, quelle contenute nel Codice della privacy, in particolare nel suo art. 130 di attuazione dell’art. 13 della direttiva 2002/58/CE; in secondo luogo, quelle contenute nel D.L.vo 185/1999 concernente i contratti a distanza conclusi dai consumatori nonché nel D.L.vo 70/2003 di attuazione della direttiva europea sul commercio elettronico[176].

Un cenno dovrà infine, con riguardo alla Rete, essere fatto anche alle regole di Netiquette e all’attività della Naming Authority italiana volta ad assicurarne l’applicazione, nonché alle iniziative prese in relazione al fenomeno spamming da alcuni provider.

11.1. Le comunicazioni indesiderate (unsolicited communications) nella direttiva 2002/58/CE

Il considerando 40 della direttiva europea sulle comunicazioni elettroniche afferma che si è reso necessario prevedere misure per tutelare gli abbonati da interferenze nella loro vita privata attuate mediante comunicazioni indesiderate a scopo di commercializzazione diretta (direct marketing), in particolare mediante dispositivi automatici di chiamata, telefax o posta elettronica, compresi i messaggi SMS.

Le suddette forme di comunicazioni commerciali indesiderate possono infatti, da un lato, essere relativamente facili ed economiche da inviare e, dall’altro, imporre un onere e/o un costo al destinatario.

Inoltre, in taluni casi, il loro volume può causare difficoltà per le reti di comunicazione elettronica e le apparecchiature terminali.

Per queste forme di comunicazioni indesiderate a scopo di commercializzazione diretta è pertanto giustificato, conclude il considerando 40, prevedere che le relative chiamate possano essere inviate ai destinatari solo previo consenso esplicito di questi ultimi.

Sulla base di siffatte premesse, l’art. 13 della direttiva 2002/58/CE detta dunque una disciplina specifica delle comunicazioni indesiderate, in luogo di quella già contenuta, come visto nel capitolo I, nell’abrogata direttiva 97/66/CE attuata in Italia con il D.L.vo 171/1998.

11.2. La disciplina contenuta nel D.L.vo 171/1998 di attuazione della direttiva 97/66/CE

Entro il proprio ambito di applicazione[177], l’art. 10 (“Chiamate indesiderate”), comma 1, del previgente D.L.vo 171/1998, con riguardo alla tutela della vita privata nel settore delle telecomunicazioni, stabiliva che “l’uso di un sistema automatizzato di chiamata senza intervento di un operatore o del telefax per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, è consentito con il consenso espresso dell’abbonato”[178].

Ai fini del provvedimento richiamato, per abbonato doveva intendersi “qualunque persona fisica, persona giuridica, ente o associazione che sia parte di un contratto con un fornitore di servizi di telecomunicazioni accessibili al pubblico, per la fornitura dei medesimi servizi” (art. 1, lett. a))[179].

La disposizione prevedeva inoltre che le chiamate effettuate per le medesime finalità di cui sopra, ma con mezzi diversi da quelli ivi indicati, fossero consentite ai sensi degli artt. 11 e 12 della L. 675/1996 (art. 10, comma 2, D.L.vo 171/1998).

In caso di violazione dell’art. 10, l’art. 11 D.L.vo 171/1998 stabiliva l’applicazione delle sanzioni penali di cui all’art. 35 L. 675/1996 (“Trattamento illecito di dati personali”).

La disposizione in esame riguardava esclusivamente le ipotesi dell’invio di materiale pubblicitario, della vendita diretta, del compimento di ricerche di mercato e della comunicazione commerciale interattiva nell’ambito dei servizi di telecomunicazioni.

Se la chiamata veniva effettuata per scopi diversi, l’art. 10 D.L.vo 171/1998 non poteva dunque, in nessun caso, trovare applicazione[180].

Il comma 1 dell’articolo in parola non menzionava espressamente la posta elettronica; problemi sono sorti pertanto con riguardo al suo campo di applicazione: in particolare ci si è chiesti se nella nozione di sistema automatizzato di chiamata poteva ricomprendersi anche l’invio di e-mail per i fini contemplati dalla norma.

In caso di risposta affermativa avrebbe trovato infatti applicazione il comma 1 dell’art. 10 D.L.vo 171/1998, mentre in caso di risposta negativa, stante il richiamo operato dal comma 2, ci si sarebbe dovuti rifare agli artt. 11 e 12 L. 675/1996[181].

11.3. L’art. 13 della direttiva 2002/58/CE

L’art. 13 della direttiva sulle comunicazioni elettroniche disciplina le comunicazioni indesiderate (unsolicited communications) stabilendo in primo luogo che l'uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta (direct marketing) è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso (art. 13, par. 1).

L’invio di comunicazioni elettroniche a scopo di direct marketing è dunque soggetto, secondo la direttiva, al preliminare consenso dell’abbonato, vale a dire, come visto nel capitolo I, ad una manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di trattamento ai sensi della direttiva 95/46/CE (c.d. opt-in).

Fatto salvo il paragrafo 1 dell’art. 13, appena illustrato, nell’ambito di una relazione di clientela già esistente, la direttiva prevede inoltre che quando una persona fisica o giuridica ottiene dai propri clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o servizio, ai sensi della direttiva 95/46/CE, la medesima persona fisica o giuridica potrà utilizzare in seguito tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi (art. 13, par. 2).

Ciò a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole, all'uso di tali coordinate elettroniche qualora essi non abbiano rifiutato inizialmente tale uso.

L'articolo in esame impone altresì agli Stati membri di adottare le misure appropriate per garantire che, gratuitamente, le comunicazioni indesiderate a scopo di commercializzazione diretta, in casi diversi da quelli appena esaminati, non siano permesse se manca il consenso degli abbonati interessati oppure se gli abbonati esprimono il desiderio di non ricevere questo tipo di chiamate (art. 13, par. 3).

La scelta tra le due alternative (opt-in o opt-out) è lasciata in questo caso alle singole normative nazionali.

La disposizione ora in parola riguarda forme di commercializzazione diretta più onerose per il mittente, che non impongano però costi finanziari per gli abbonati, quali chiamate telefoniche vocali interpersonali (considerando 42).

E' espressamente vietata dal provvedimento, comunque, la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta camuffando o celando l'identità del mittente da parte del quale la comunicazione è effettuata, o senza fornire un indirizzo valido cui il destinatario possa inviare una richiesta di cessazione di tali comunicazioni (art. 13, par. 4).

Alcuni sistemi di posta elettronica consentono agli abbonati di vedere il mittente e l’oggetto di una e-mail nonché di cancellare il messaggio senza dover scaricare il resto del contenuto dell’e-mail o degli allegati, riducendo quindi i costi che potrebbero derivare dal download di e-mail o allegati indesiderati.

Secondo il considerando 44 della direttiva, tali modalità potranno continuare ad essere utili, in taluni casi, come strumento supplementare rispetto ai requisiti generali stabiliti dal provvedimento. Ciò anche in considerazione degli obblighi informativi che, come si vedrà, la direttiva sul commercio elettronico (direttiva 2000/31/CE) pone a carico del mittente di siffatti messaggi, proprio al fine di rendere la junk e-mail immediatamente identificabile dal destinatario[182].

Deve notarsi a questo punto come tutta la disciplina contenuta nella direttiva 2002/58/CE faccia esclusivo riferimento all’invio di comunicazioni indesiderate a scopo di commercializzazione diretta.

Ove manchi un simile fine, come ad esempio nell’ipotesi di comunicazioni effettuate a scopo di propaganda politica o proselitismo religioso, l’art. 13 in esame non potrà dunque trovare applicazione[183].

Ai sensi del paragrafo 5 della suddetta disposizione, gli Stati membri dovranno infine garantire, relativamente alle comunicazioni indesiderate, un'adeguata tutela anche degli interessi legittimi degli abbonati che non siano persone fisiche[184].

Occorre rilevare altresì che, a quanto si legge nel considerando 47, la normativa nazionale dovrebbe prevedere la possibilità di adire gli organi giurisdizionali nei casi in cui i diritti degli utenti e degli abbonati non siano rispettati.

Le sanzioni, ai sensi del medesimo considerando, dovrebbero essere applicate ad ogni persona, sia essa soggetta al diritto pubblico o privato, che non ottemperi alle disposizioni nazionali adottate a norma della direttiva.

A questo proposito, l’art. 15, par. 2, del provvedimento stabilisce che le disposizioni del capo III della direttiva 95/46/CE relative ai ricorsi giurisdizionali, alle responsabilità ed alle sanzioni si applichino relativamente alle disposizioni nazionali adottate in base alla direttiva in esame e con riguardo ai diritti individuali risultanti dalla stessa.

11.4. L’art. 130 del Codice della privacy

L’art. 13 della direttiva 2002/58/CE, come già si è avuto modo di rilevare, ha trovato attuazione in Italia con l’art. 130 del Codice della privacy (“Comunicazioni indesiderate”).

Nell’ambito di applicazione del titolo X della parte II del Codice[185], la suddetta disposizione prevede dunque innanzitutto che l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell’interessato.

Si prevede espressamente, altresì, che la norma di cui sopra si applichi anche alle comunicazioni elettroniche effettuate per le finalità ivi indicate mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo (art. 130, comma 2)[186].

Rispetto alla previsione dell’art. 13 della direttiva 2002/58/CE, risulta dunque più ampio l’ambito di applicazione della regola dell’opt-in di cui al comma 1 dell’art. 130 del Codice, il quale finisce col riferirsi, oltre che a dispositivi automatici di chiamata, fax, e-mail, MMS e SMS anche a qualunque “messaggio di altro tipo”.

Confrontando inoltre il testo della norma ora in esame con quello del previgente art. 10, comma 1, D.L.vo 171/1998, sopra analizzato, rileva immediatamente l’espressa menzione della posta elettronica tra i mezzi l’uso dei quali richiede il consenso dell’interessato. La nuova disposizione pare dunque destinata a risolvere gli accennati problemi interpretativi relativi al campo di applicazione del comma 1 dell’abrogato art. 10 D.L.vo 171/1998.

Da notare altresì che l’art. 130 si riferisce, in generale, agli interessati, mentre nella direttiva 2002/58/CE, così come anche nel D.L.vo 171/1998, il riferimento andava ai soli abbonati[187].

Fuori dei casi di cui ai commi 1 e 2 dell’art. 130, appena illustrati, ulteriori comunicazioni per le finalità di cui ai medesimi commi ma effettuate con mezzi diversi da quelli ivi indicati si prevede siano consentite ai sensi degli artt. 23 e 24 del Codice, relativi rispettivamente al consenso dell’interessato ed ai casi in cui è possibile procedere a trattamento a prescindere da detto consenso (art. 130, comma 3)[188].

Fatto salvo quanto previsto nel comma 1 dell’art. 130, inoltre, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni (art. 130, comma 4). L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui sopra, deve essere informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

E’ vietato, in ogni caso, l’invio di comunicazioni per le finalità di cui al comma 1 dell’art. 130 o, comunque, a scopo promozionale, effettuato camuffando o celando l’identità del mittente o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’art. 7 del Codice[189] (art. 130, comma 5).

Infine, in caso di reiterata violazione delle disposizioni di cui all’articolo in esame, il Garante può[190] prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono state inviate le comunicazioni (art. 130, comma 6).

Il Codice della privacy stabilisce dunque che, a tutela degli interessati, il Garante possa imporre agli stessi provider l’obbligo di adottare le necessarie misure contro gli spammer, sebbene soltanto in presenza di “reiterate violazioni”.

11.5. Codice di deontologia e di buona condotta per il marketing diretto

L’art. 140 del Codice della privacy, collocato nel titolo XIII della parte II, attribuisce al Garante per la protezione dei dati personali il compito di promuovere[191] la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell’interessato[192], forme semplificate per manifestare e rendere meglio conoscibile l’eventuale dichiarazione di non voler ricevere determinate comunicazioni.

Come in più occasioni sottolineato, il rispetto delle disposizioni di un siffatto codice costituirà, quando emanato, condizione essenziale per la liceità e la correttezza del trattamento dei dati personali (art. 12, comma 4)[193].

11.6. Altre norme rilevanti in materia di spamming

Come sopra visto, l’ambito di applicazione dell’art. 130 del Codice della privacy è circoscritto all’invio di materiale pubblicitario o di vendita diretta o al compimento di ricerche di mercato o di comunicazione commerciale in relazione al trattamento di dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni (art. 121).

Al di fuori del campo di applicazione dell’art. 130 – ad esempio nel caso di invio di comunicazioni di propaganda politica o di proselitismo religioso o nel caso di invio di materiale per posta – troveranno dunque applicazione le disposizioni generali della parte I del Codice per quanto concerne, in particolare, il consenso dell’interessato (art. 23) ed i casi in cui il trattamento dei dati può essere effettuato a prescindere da detto consenso (art. 24)[194]. Tali ultime norme sono richiamate espressamente dallo stesso art. 130, comma 3, in relazione alle comunicazioni commerciali effettuate con mezzi diversi da quelli indicati – con ampia definizione – dal primo comma della disposizione.

Con riguardo ad alcune questioni applicative relative agli artt. 23 e 24 del Codice in materia di spamming si rimanda a quanto si dirà nel paragrafo successivo a proposito del provvedimento generale sullo spamming adottato dal Garante per la protezione dei dati personali nel maggio 2003.

Occorre ora invece accennare ad altre disposizioni rilevanti in materia.

In rapporto di specialità con le disposizioni del Codice della privacy dovrebbe infatti continuare a porsi l’art. 10 del D.L.vo 185/1999 relativo ai contratti a distanza conclusi dai consumatori[195].

Per contratto a distanza deve intendersi, secondo la definizione fornita dall’art. 1, lett. a), del D.L.vo 185/1999, “il contratto avente per oggetto beni o servizi stipulato tra un fornitore e un consumatore nell’ambito di un sistema di vendita o di prestazione di servizi a distanza organizzato dal fornitore che, per tale contratto, impiega esclusivamente una o più tecniche di comunicazione a distanza fino alla conclusione del contratto, compresa la conclusione del contratto stesso”.

Ai sensi dell’art. 1, lett. b), D.L.vo 185/1999, consumatore è la persona fisica che in relazione ai contratti a distanza agisce per scopi non riferibili all’attività professionale eventualmente svolta. Per fornitore deve intendersi invece, secondo la definizione fornita dall’art. 1, lett. c), del provvedimento, la persona fisica o giuridica che nei contratti a distanza agisce nel quadro della sua attività professionale.

Entro tale ambito di applicazione, l’art. 10 del D.L.vo 185/1999 (“Limiti all’impiego di talune tecniche di comunicazione a distanza”) dispone dunque che l’impiego da parte di un fornitore del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax, richiede il consenso preventivo del consumatore.

D’altra parte, si prevede che tecniche di comunicazione a distanza diverse da quelle di cui sopra, qualora consentano una comunicazione individuale, possano essere impiegate dal fornitore se il consumatore non si dichiara esplicitamente contrario (opt-out)[196].

L’art. 10 D.L.vo 185/1999 riguarda pertanto il consumatore quale parte di un contratto a distanza e, stante il summenzionato rapporto di specialità con le disposizioni del Codice della privacy, sarà esso a prevalere sul testo unico nel proprio ambito applicativo.

Restano invece fuori dal campo di applicazione della norma in esame le comunicazioni che avvengono nel c.d. B2B (Business to Business), poiché tali comunicazioni non coinvolgono appunto i consumatori, intesi come coloro che agiscono per scopi estranei ad attività imprenditoriale o professionale. Tali fattispecie saranno pertanto disciplinate dalle norme precedentemente analizzate.

La violazione dell’art. 10 del D.L.vo 185/1999 comporta l’applicazione delle sanzioni di cui all’art. 12 del medesimo provvedimento[197].

Un cenno merita infine l’art. 660 cod. pen. (“Molestia o disturbo alle persone”) il quale punisce chiunque, in un luogo pubblico o aperto al pubblico, ovvero col mezzo del telefono, per petulanza o per altro biasimevole motivo, reca a taluno molestia o disturbo.

Secondo alcuni tale reato potrebbe perfezionarsi anche tramite l’invio di messaggi di posta elettronica. Deve però osservarsi che il principio di tassatività vigente in materia penale non consente alcuna interpretazione estensiva della fattispecie con riguardo al mezzo del telefono ivi contemplato[198].

Sommario

12. Segue: il provvedimento generale sullo spamming del Garante per la protezione dei dati personali

In data 29 maggio 2003, anteriormente dunque alla pubblicazione sulla Gazzetta ufficiale del Codice della privacy, il Garante per la protezione dei dati personali è intervenuto in materia di spamming effettuato tramite posta elettronica con un provvedimento di carattere generale[199].

Il provvedimento, pur non avendo, naturalmente, portata normativa, può costituire un utile riferimento per l’interprete, sebbene emanato nella vigenza della precedente disciplina. Il pensiero ivi espresso dall’Autorità non è d’altra parte certamente esente da critiche, soprattutto, come si vedrà, in merito alla rilevanza penale della condotta consistente nell’invio di e-mail indesiderate di carattere commerciale.

Secondo l’Autorità, l’intervento si è reso necessario a seguito di “diverse centinaia di reclami e segnalazioni da parte di utenti di reti telematiche e di associazioni per la tutela dei diritti di utenti e consumatori, che contestano la ricezione di messaggi di posta elettronica per scopi promozionali, pubblicitari, di informazione commerciale o di vendita diretta, inviati senza che gli interessati abbiano manifestato in precedenza il proprio consenso informato”.

Il Garante rileva inoltre che “Numerosi interessati espongono anche ulteriori disagi derivanti dalla costante ripetizione di analoghi messaggi da parte di uno stesso mittente titolare del trattamento, dai vani tentativi esperiti per ottenere sia la cancellazione del proprio indirizzo di posta elettronica presso i mittenti, sia l’interruzione di altri messaggi. Altre segnalazioni riguardano gli inconvenienti che derivano dalla ricezione di e-mail anonime o prive dell’indicazione di un indirizzo, oppure delle coordinate veritiere di un reale mittente”.

“Nella prevalenza dei casi” – prosegue il provvedimento – “agli interessati non è stato previamente richiesto, come dovuto, uno specifico consenso preceduto da un’idonea informativa che illustri adeguatamente le modalità e le caratteristiche dei messaggi.

In altri casi i messaggi sono inviati da imprese – anche in questo caso senza consenso – per promuovere, presso clienti, prodotti o servizi analoghi a quelli forniti in un rapporto contrattuale, oppure per offrire altri tipi di prodotti o servizi distribuiti anche da terzi”.

Con il provvedimento generale in esame l’Autorità ha inteso dunque, con riferimento al quadro giuridico previgente, “indicare le misure che gli operatori del settore devono adottare al fine di conformarsi alla disciplina generale sull’uso dei dati personali, specie nel settore delle comunicazioni (in particolare, alla legge 31 dicembre 1996, n. 675, al decreto legislativo 13 maggio 1998, n. 171 e al decreto legislativo 22 maggio 1999, n. 185)”[200].

Invio lecito di posta elettronica pubblicitaria.

Come può leggersi nel provvedimento del Garante, “Gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della normativa in materia”[201].

La loro utilizzazione per scopi promozionali e pubblicitari, prosegue dunque il Garante, è possibile solo se il soggetto cui si riferiscono i dati ha manifestato in precedenza un consenso libero, specifico e informato.

Il consenso, rileva l’Autorità, è necessario anche quando gli indirizzi sono formati ed utilizzati automaticamente con un software senza l’intervento di un operatore, o in mancanza di una previa verifica della loro attuale attivazione o dell’identità del destinatario del messaggio, e anche quando gli indirizzi non sono registrati dopo l’invio dei messaggi.

“Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è stato ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE in fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 luglio 2002)”.

In più di un’occasione il Garante ha infatti avuto modo di ribadire che la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in Internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari[202].

In particolare, i dati dei singoli utenti che prendono parte a gruppi di discussione in Internet sono resi conoscibili in rete per le sole finalità di partecipazione ad una determinata discussione e non possono essere utilizzati per fini diversi qualora manchi un consenso specifico[203]. Ad analoga conclusione, secondo il Garante, deve pervenirsi per gli indirizzi di posta elettronica compresi nella lista “anagrafica” degli abbonati ad un Internet provider (qualora manchi, anche in questo caso, un consenso libero e specifico), oppure pubblicati su siti web di soggetti pubblici per fini istituzionali.

Tali considerazioni, prosegue l’Autorità, valgono anche con riferimento ai messaggi pubblicitari inviati a gestori di siti web – anche di soggetti privati – utilizzando gli indirizzi pubblicati sugli stessi siti, o che sono reperibili consultando gli elenchi dei soggetti che hanno registrato i nomi a dominio. “In quest’ultimo caso, infatti, la conoscibilità in rete degli indirizzi è volta a identificare il soggetto che è o appare responsabile, sul piano tecnico o amministrativo, di un nome a dominio o di altre funzioni rispetto a servizi Internet (per la tutela di vari diritti sul piano civile e penale, anche ai sensi della legge n. 675) e non anche a rendere l’interessato disponibile all’invio di messaggi pubblicitari”[204].

In tutti questi casi, “l’utilizzo spesso massivo della posta elettronica comporta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per mantenere un collegamento e per ricevere, come pure per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibili, nonché a sostenere i correlativi costi per il collegamento telefonico (incrementati anche da messaggi di dimensioni rilevanti che rallentano tali operazioni), oppure ad adottare ‘filtri’, a verificare più attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito domestico.

Il fenomeno interessa anche piccole e grandi imprese destinatarie di un elevato numero di messaggi, le quali devono farsi carico di misure interne e di costi anche organizzativi per contrastarlo.

Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si verifica anche relativamente a messaggi inviati da singole persone fisiche che, in vari casi esaminati, non si limitano ad una comunicazione episodica, ma intraprendono una comunicazione sistematica per fini personali o, addirittura, una diffusione di dati cui è applicabile la disciplina in materia di protezione dei dati personali”[205].

Il quadro giuridico su informativa e consenso.

Il Garante prosegue poi ricostruendo, secondo quella che è l’opinione dell’Autorità, il quadro giuridico su informativa e consenso in relazione allo spamming.

Innanzitutto, osserva il Garante, è la legge ad individuare il contenuto dell’informativa agli interessati, nonché i casi in cui è necessario il consenso espresso dell’interessato o è possibile prescinderne[206].

Al riguardo, rileva nuovamente il Garante, non può farsi a meno del consenso ritenendo che i dati personali relativi all’indirizzo di posta elettronica – e all’indirizzo in particolare – siano “pubblici” in quanto conoscibili da chiunque.

Le disposizioni normative che si riferiscono a questo aspetto sono infatti applicabili, prosegue l’Autorità con argomentazioni condivisibili, solo quando vi è un pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico, e non anche quando i dati personali sono conoscibili da chiunque per mere circostanze di fatto (si pensi, oltre ai casi già richiamati di raccolta su siti web o di messaggi trasmessi su newsgroup o su mailing list, agli indirizzi di posta elettronica raccolti in rete tramite appositi software o mediante comuni motori di ricerca)[207].

“Il principio del consenso è quindi già operante nel nostro ordinamento prima ancora di essere affermato senza eccezioni su scala europea, dalla menzionata direttiva n. 2002/58 in fase di recepimento, a tutta la posta elettronica comunque inviata per fini di commercializzazione diretta (si vedano in particolare l’art. 13 e il considerando n. 40)”.

Il quadro evidenziato, secondo il Garante, trova d’altra parte conferma nella disciplina sulla protezione dei consumatori nei contratti a distanza di cui al D.L.vo 185/1999 che, in riferimento al rapporto sottostante ai fini del quale si procede al trattamento di dati personali, vieta ai fornitori l’impiego della posta elettronica in mancanza del consenso preventivo del consumatore, in relazione a determinati scopi tra i quali rientrano anche quelli pubblicitari.

Il Garante omette però di considerare l’altra ipotesi di esclusione del consenso suscettibile di venire in rilievo con riguardo all’invio di e-mail indesiderate di carattere commerciale: quella concernente i “dati relativi allo svolgimento di attività economiche” di cui all’art. 12, comma 1, lett. f), dell’abrogata L. 675/1996[208].

Afferma inoltre l’Autorità che “per gli aspetti relativi alla protezione dei dati personali non devono essere peraltro considerate le disposizioni del recente decreto legislativo 9 aprile 2003, n. 70, sul commercio elettronico, dichiarate in proposito espressamente inapplicabili (art. 1, comma 2, lett. b) d.lg. n. 70 cit.)”.

D’altra parte, se è vero che il decreto legislativo di attuazione della direttiva europea sul commercio elettronico lascia espressamente impregiudicata la disciplina in materia di protezione dei dati personali, ciò però non può significare che le norme del D.L.vo 70/2003 non debbano trovare applicazione, con riferimento all’invio di comunicazioni commerciali, nell’ambito considerato dal suddetto provvedimento[209].

Il consenso, da documentare per iscritto, deve essere manifestato liberamente, in modo esplicito e in forma differenziata rispetto alle diverse finalità e alle categorie di servizi e prodotti offerti, prima dell’inoltro dei messaggi[210].

Tale disciplina, afferma il Garante, non può essere elusa inviando una prima e-mail che, nel chiedere un consenso abbia comunque un contenuto promozionale oppure pubblicitario[211], oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di non ricevere più messaggi dello tesso tenore.

“Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno semplice conferma della sua manifestazione, attraverso un messaggio volto unicamente ad annunciare il successivo inoltro di materiale pubblicitario. Tale prassi, se utilizzata correttamente, consente tra l’altro di verificare l’effettiva corrispondenza dell’indirizzo di posta elettronica ai soggetti che avevano espresso il consenso, nonché di accertare il permanere di tale volontà”.

Sulla base delle premesse illustrate, l’Autorità conclude affermando che l’insieme dei diritti riconosciuti dalla legge agli utenti determina, in caso di loro violazione, un trattamento illecito dei dati che:

- è già vietato direttamente dalla legge, senza che sia necessario adottare uno specifico provvedimento interdittivo;

- determina, a seconda dei casi, l’applicazione di sanzioni amministrative pecuniarie, in particolare per omessa informativa od omessa notificazione[212];

- comporta il rimborso delle spese e dei diritti relativi al procedimento attivato da un fondato ricorso al Garante, oppure da un’azione dinanzi al giudice civile, come pure il risarcimento dei danni, specie di tipo patrimoniale, che derivino dai fatti illeciti e siano comprovati dall’interessato in relazione ai disagi sopra illustrati;

- rende applicabile anche una sanzione penale qualora il trattamento illecito dei dati sia effettuato al fine di trarne per sé o per altri un profitto o per arrecare ad altri un danno, con la pena accessoria della pubblicazione della sentenza di condanna.

Tale ultima conclusione tratta dal Garante ha suscitato notevoli perplessità in dottrina. Prima dell’entrata in vigore del Codice della Privacy – si è sostenuto infatti con argomentazioni in larga parte condivisibili – con riferimento all’invio di e-mail indesiderate di carattere commerciale doveva ritenersi operante l’ipotesi di esclusione del consenso di cui all’art. 12, comma 1, lett. f), L. 675/1996, concernente, come si è visto, il trattamento di dati relativi allo svolgimento di attività economiche. Ipotesi di esclusione del consenso che l’Autorità ha però omesso, come già rilevato, di considerare nel provvedimento in parola.

Conseguentemente, “Tale riscontro, in uno con l’introduzione nel novello d.l.vo 196/03 di una specifica disciplina in materia di comunicazioni indesiderate basata sul principio del consenso preventivo (cfr., art. 130), consentono di affermare che solo a partire dal 1° gennaio 2004 nel nostro ordinamento troverà applicazione in materia di ‘spamming’ il c.d. principio dell’opt-in la cui violazione integrerà per espressa previsione legislativa responsabilità penali” (C. Blengino e M.A. Senior)[213].

Messaggi pubblicitari a propri clienti.

Afferma il Garante, con riferimento alla disciplina anteriore al Codice della privacy, che “Per effetto del recepimento della direttiva 2002/58/CE sarà peraltro possibile integrare, nel prossimo futuro, la disciplina sopra illustrata, permettendo a talune società di far conoscere a propri clienti prodotti o servizi analoghi a quelli per i quali si è già stabilito un rapporto, con i medesimi clienti, di vendita di prodotti o servizi”.

In tali casi, “la società titolare del trattamento (dopo aver informato preventivamente e adeguatamente il cliente) potrà procedere all’invio del messaggio pubblicitario, offrendo però al cliente, in modo chiaro e distinto (sia al momento della raccolta dei suoi dati, sia in occasione di ciascun messaggio) il diritto di rifiutare sin dall’inizio tale uso dei dati o di obiettare, gratuitamente e in maniera agevole, anche successivamente (art. 13, par. 2, direttiva n. 2002/58/CE cit.)”[214].

Messaggi per conto terzi e acquisto di banche dati.

In alcuni casi portati all’attenzione del Garante, l’invio di messaggi pubblicitari era stato effettuato, per conto di terzi committenti, da società specializzate che utilizzano indirizzi di posta elettronica contenuti in proprie banche dati.

Tali società, da considerarsi titolari o contitolari del trattamento dei dati a seconda del rapporto che si instaura con il committente e delle modalità di concreta utilizzazione dei dati, sono, secondo il Garante, tenute a rispettare le disposizioni in tema di informativa e specifico consenso, anche per quanto riguarda l’eventuale comunicazione di dati personali ai committenti medesimi e le relative finalità.

Ciò comporta un quadro di obblighi e possibili responsabilità anche penali che gli operatori devono verificare con attenzione, anche quando la società specializzata incaricata sia stabilita fuori dell’Unione europea.

Dall’esame dei reclami e delle segnalazioni pervenuti al Garante è risultato, altresì, che alcuni dei soggetti che hanno utilizzato la posta elettronica per l’invio di messaggi pubblicitari avevano acquisito da terzi le banche dati contenenti gli indirizzi dei destinatari. In questi casi, secondo l’Autorità, chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli elementi indicati oggi nell’art. 13 del Codice della privacy[215], comprensivi di un riferimento di luogo – e non solo di posta elettronica – presso cui l’interessato possa esercitare i diritti riconosciuti dalla legge.

Diritti degli interessati.

Si legge nel provvedimento del Garante in esame che “Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati la possibilità di far valere in ogni momento i diritti riconosciuti dalla legge, i quali sono spesso esercitati per conoscere da quale fonte sono stati tratti i dati, o per far interrompere gratuitamente la loro ulteriore utilizzazione ai fini commerciali-pubblicitari, oppure per far cancellare i dati trattati in violazione di legge”[216].

I diritti vanno esercitati direttamente presso l’indirizzo conoscibile del titolare o del responsabile del trattamento, riservando solo ad un eventuale momento successivo l’instaurazione di una procedura contenziosa dinanzi al Garante o all’autorità giudiziaria.

“Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo di messaggi pubblicitari senza l’indicazione di un mittente identificabile concreti già oggi un trattamento illecito di dati personali, a prescindere da quanto dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è visto, fuori della materia della protezione dei dati personali) e da quanto, in riferimento ai dati personali, sarà previsto con il recepimento della direttiva n. 2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando l’identità del mittente viene camuffata o addirittura celata e quando non viene fornito un indirizzo valido che consenta al destinatario di richiedere la cessazione delle comunicazioni: art. 13, par. 4, dir. cit.)”[217].

Elenchi di possibili destinatari.

L’eventuale elenco predisposto da operatori, contenente i nominativi dei soggetti che non hanno manifestato il consenso o che lo hanno revocato (c.d. black list) non può essere utilizzato – secondo il parere espresso in proposito dal Garante – per porre a carico degli interessati, anche indirettamente, un onere di iscrizione nell’elenco medesimo.

Come si è illustrato, infatti, il consenso ha un connotato autorizzatorio “positivo” in base al quale l’eventuale silenzio dell’interessato comporta il diniego del consenso eventualmente richiesto e non rileva come assenso tacito all’invio dei messaggi.

Consta peraltro, rileva il Garante, che alcuni operatori intendono adottare la diversa prassi di redigere anche tramite siti web appositi elenchi di persone che hanno manifestato il consenso, distinti in base alle diverse categorie di messaggi commerciali-pubblicitari che gli interessati hanno acconsentito a ricevere.

Tale prassi, nell’opinione dell’Autorità, se correttamente seguita, può rappresentare una misura utile, sul piano organizzativo, per garantire un più effettivo rispetto della volontà espressa dai singoli. A tale riguardo, costituirà una pratica utile quella di garantire agli interessati la possibilità di inserire direttamente il proprio nome nelle diverse liste o di cancellarlo dalle stesse, magari attraverso un’apposita pagina web, ferma restando l’esigenza di identificarli.

E-mail provenienti dall’estero.

Ad alcuni messaggi, in quanto provenienti dall’estero, non è applicabile la legge italiana sulla protezione dei dati personali.

Ciò, d’altra parte, sottolinea il Garante, non comporta l’assoluta mancanza di rimedi o tutela, potendo l’utente chiedere una verifica da parte della competente autorità nazionale di protezione dei dati personali, ove istituita nel Paese eventualmente individuabile dal messaggio[218].

In altri casi, come quelli relativi alle leggi degli stati federali, l’invio di messaggi pubblicitari di posta elettronica può essere illecito in base alla legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle competenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti.

Va infine tenuto presente che alcune e-mail indesiderate possono essere lo strumento per commettere reati comuni (ad esempio di truffa) che devono considerarsi commessi nel territorio italiano quando, sebbene l’azione è avvenuta all’estero, l’evento-reato che ne deriva si è verificato in Italia[219].

Sommario

13. Segue: le regole della Netiquette, l’attività della Naming Authority italiana; iniziative e responsabilità dei provider

Com’è noto, la Netiquette è costituita dai “principi di buon comportamento” (galateo) e dalle “tradizioni” sviluppatisi spontaneamente nel corso degli anni fra gli utenti dei servizi telematici di rete, prima fra tutte la rete Internet, ed in particolare fra i lettori dei servizi di news Usenet[220].

Le regole di Netiquette stabiliscono il divieto di inviare tramite posta elettronica messaggi pubblicitari o comunque comunicazioni che non siano state sollecitate in modo esplicito. A tale norma va attribuito carattere consuetudinario[221].

Deve inoltre essere rilevato che la Registration Authority (RA) italiana, vale a dire il soggetto che presiede all’assegnazione dei nomi a dominio con suffisso “.it”, richiama espressamente la Netiquette nel momento in cui assegna in concessione un nome a dominio, elevando così le regole di Netiquette al rango di norme contrattuali[222].

La Naming Authority italiana (NA), ossia il soggetto che stabilisce le regole in base alle quali la RA opera, al fine di assicurare l’applicazione di dette norme, pubblica e cura una lista nella quale sono presenti tutte le segnalazioni di presunte violazioni della Netiquette inviate dagli utenti della rete[223].

La mailing list abuse@na.nic.it contiene i servizi controllo abusi dei provider che intendono efficacemente combattere gli abusi da parte dei propri clienti, ed è quindi il metodo più semplice per raggiungerli, nonché per segnalare chi sta eseguendo la violazione. La pubblicazione della segnalazione nella lista Abuse avviene comunque senza attendere eventuali controdeduzioni del presunto spammer[224].

Si ricorda inoltre che è attivo il newsgroup it.news.net-abuse nel cui “manifesto” si legge che questo gruppo, “sorto per similitudine ai gruppi mondiali dello stesso nome, serve a riportare notizia di abuso della rete (come gli spam) proveniente da siti *italiani*. È inutile riportare abusi da siti esteri: in questo caso è meglio utilizzare i gruppi news.admin.net-abuse.* per avere qualche speranza di risposta”[225].

Va osservato che alcuni provider hanno preso iniziative al fine di tutelare i loro utenti dalla ricezione di e-mail indesiderate.

La protezione si realizza tramite filtri anti spamming, vale a dire appositi software che respingono determinati messaggi di posta elettronica precedentemente classificati come indesiderati in base alla loro provenienza da domini “sospetti”. Di solito ciò avviene su segnalazione degli utenti, e dopo aver verificato l’inclusione dello spammer segnalato nella lista tenuta dalla Naming Authority.

Questo meccanismo appare però in contrasto con l’art. 15 della Costituzione italiana, il quale sancisce l’inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione. Secondo detta norma, limitazioni possono aversi soltanto per atto motivato dell’autorità giudiziaria, con le garanzie stabilite dalla legge.

Come da alcuni rilevato, l’attivazione del filtro anti spamming avviene infatti spesso all’insaputa degli utenti del provider. Questi possono così perdere messaggi di posta elettronica, magari desiderati, senza rendersene conto, considerato anche che al mittente non viene inviata alcuna comunicazione di mancata trasmissione[226].

Inoltre, deve considerarsi anche l’art. 616 cod. pen., il quale, nel prevedere il reato di “Violazione, sottrazione e soppressione di corrispondenza”, punisce la condotta di chi distrugge o sopprime corrispondenza anche telematica[227].

Spesso sono d’altra parte gli stessi contratti di fornitura di accesso alla rete a prevedere un’apposita clausola che stabilisce il divieto di utilizzare le macchine del provider per la diffusione di spam e-mail, autorizzando espressamente il provider, in caso di violazione, a cancellare l’accesso alla rete dello spammer.

Interessante questione è infine quella della possibilità di configurare una responsabilità in capo ai provider rispetto allo spamming subito dai propri utenti.

La giurisprudenza di merito, con un provvedimento del 2001, anteriore dunque all’entrata in vigore sia del Codice della privacy che del D.L.vo 70/2003 di attuazione della direttiva europea sul commercio elettronico, ebbe occasione di affermare in proposito che, dovendosi riconoscere al contratto tra titolare di indirizzo di posta elettronica e provider natura giuridica di appalto di servizi, rientra tra i doveri collaterali gravanti sul provider anche quello di evitare che il proprio utente di posta elettronica sia esposto a spamming effettuato da altri soggetti operanti nella rete. Oltre a quanto previsto dall’autonomia contrattuale, la suddetta pronuncia vorrebbe dunque far discendere una responsabilità contrattuale del provider nei confronti dei propri utenti per violazione dei generali principi di cui agli artt. 1175 e 1375 cod. civ.[228].

Sommario

14. Informazioni ad abbonati e utenti

Proseguendo nell’analisi della normativa di attuazione della direttiva 2002/58/CE, secondo quanto disposto dall’art. 131 (“Informazioni ad abbonati e utenti”) del Codice della privacy[229], il fornitore di un servizio di comunicazione elettronica accessibile al pubblico è tenuto ad informare l’abbonato e, ove possibile, l’utente[230] circa la sussistenza di situazioni che permettono di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei.

L’abbonato è tenuto inoltre ad informare l’utente quando il contenuto delle comunicazioni o conversazioni può essere appreso da altri a causa del tipo di apparecchiature terminali utilizzate o del collegamento realizzato tra le stesse presso la sede dell’abbonato medesimo.

L’utente deve, infine, informare l’altro utente quando, nel corso della conversazione, sono utilizzati dispositivi che consentono l’ascolto della conversazione stessa da parte di altri soggetti.

Viene pertanto confermata la disciplina già contenuta in proposito nell’abrogato D.L.vo 171/1998.

Val la pena sottolineare, con riferimento a questa disposizione del testo unico, che, ove si voglia considerare l’e-mail un mezzo che offre inadeguate garanzie di riservatezza – in quanto potenzialmente idonea ad essere letta o finanche modificata nel corso dei passaggi telematici intermedi dal mittente al destinatario – scatterebbero per i soggetti coinvolti nella comunicazione elettronica gli obblighi di informazione sopra illustrati[231].

Sommario

15. Conservazione di dati di traffico per altre finalità

La formulazione originaria dell’art. 132 (“Conservazione di dati di traffico per altre finalità”) del testo unico[232] stabiliva che, fermo restando quanto previsto dall’art. 123, comma 2[233], i dati relativi al traffico telefonico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione di reati, secondo le modalità individuate con decreto del Ministro della giustizia, di concerto con i Ministri dell’interno e delle comunicazioni, e su conforme parere del Garante.

La disposizione ora in esame va a toccare dunque profili delicati, soprattutto se si pensa alle esigenze di bilanciamento tra sicurezza dello Stato e diritto alla riservatezza dei cittadini[234].

Il legislatore italiano ha scelto in proposito di avvalersi della facoltà riconosciutagli dall’art. 15 della direttiva 2002/58/CE di limitare alcuni dei diritti ed obblighi sanciti dalla direttiva stessa qualora tale restrizione costituisca[235] “una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”[236].

Sul punto la relazione di accompagnamento al Codice afferma che “Il termine, tenendo conto delle osservazioni svolte da entrambe le Commissioni e degli orientamenti e delle evoluzioni in ambito comunitario e internazionale, viene fissato in un periodo non superiore a 30 mesi, che appare congruo rispetto alle esigenze prospettate in sede parlamentare e comunque ampiamente inferiore a quello attuale di cinque anni.

Sul piano formale, tenendo conto della giurisprudenza costituzionale e di legittimità in materia, in particolare sulla natura dei dati in questione e sulle modalità di acquisizione da parte della sola autorità giudiziaria, la finalità della conservazione di tali dati viene più direttamente collegata all’accertamento e alla repressione dei reati, specificando meglio il contesto per il quale l’esigenza cui fa riferimento l’articolo in commento è stata prefigurata, vale a dire in relazione ai dati di traffico telefonico”[237].

Per la prima volta nell’ordinamento giuridico italiano è stato pertanto introdotto un preciso obbligo di conservazione dei dati sul traffico telefonico ai fini investigativi[238].

Con decreto-legge 24 dicembre 2003, n. 354[239], ritenuta la straordinaria necessità ed urgenza di disciplinare le modalità di conservazione dei dati di traffico connesso ai servizi di comunicazione telefonica e via internet, così da prevenirne la perdita nell'ipotesi in cui ne risulti necessaria l'acquisizione ai fini della repressione di reati di particolare gravità, il Governo è intervenuto sull’art. 132 in esame, sostituendone il testo come segue.

“Art. 132 (Conservazione di dati di traffico per altre finalità) - 1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico sono conservati dal fornitore per trenta mesi, per finalità di accertamento e repressione dei reati.

2. Decorso il termine di cui al comma 1, i dati sono conservati dal fornitore per ulteriori trenta mesi e possono essere richiesti esclusivamente per finalità di accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.

3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato dell'autorità giudiziaria, d'ufficio o su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale.

4. Dopo la scadenza del termine indicato al comma 1, il pubblico ministero richiede al giudice, che decide con decreto motivato, l'autorizzazione ad acquisire i dati. Tale disposizione si applica anche al difensore dell'imputato o della persona sottoposta alle indagini che intenda acquisire direttamente i dati dal fornitore. Il giudice procede all'acquisizione, con decreto motivato, anche d'ufficio.

5. Il trattamento dei dati per le finalità di cui ai commi 1 e 2 è effettuato nel rispetto di particolari misure e di accorgimenti, nel determinare i quali si tiene comunque conto dei seguenti principi:

a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento di cui all'allegato b);

b) disciplinare le modalità di conservazione separata dei dati una volta decorso il termine di cui al comma 1;

c) individuare le modalità di accesso ai dati da parte di specifici incaricati del trattamento in modo tale che, decorso il termine di cui al comma 1, l'accesso sia consentito solo nei casi di cui al comma 4 e all'articolo 7;

d) indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui ai commi 1 e 2.

6. Le modalità di trattamento dei dati di cui al comma 5 sono individuate con decreto del Ministro della giustizia, di concerto con il Ministro dell'interno, con il Ministro delle comunicazioni e con il Ministro per l'innovazione e le tecnologie, su conforme parere del Garante"[240].

L’intervento del Governo ha provocato accese discussioni tra gli operatori, nonché la pronta reazione del Garante, il quale, con comunicato del 23 dicembre 2003, ha preso atto "con preoccupazione del decreto legge approvato oggi dal Governo sulla conservazione dei dati del traffico telefonico e su Internet.

In particolare, la nuova disciplina sui dati relativi alle comunicazioni elettroniche e alle utilizzazioni di Internet può anche entrare in conflitto con le norme costituzionali sulla libertà e segretezza delle comunicazioni e sulla libertà di manifestazione del pensiero.

Il Garante confida in un attento esame del decreto da parte del Parlamento”.

Come è stato osservato, il D.L. 354/2003, nel riscrivere l’art. 132 del Codice della privacy, fa riferimento ai “dati relativi al traffico”, prevedendo – tramite richiamo all’art. 123, comma 2, in precedenza analizzato[241] – l’obbligatorietà della conservazione di quei dati specificamente finalizzati alla fatturazione. Dunque verrebbero esclusi “i log dei servizi (come http, ftp, mail, news) che si trovano a un livello più alto dello stack TCP/IP” (A. Monti)[242].

Di contrario avviso è altra parte della dottrina, secondo cui l’art. 132, sia nel testo modificato dal D.L. 354/2003 sia nel testo originale contempla i “dati relativi al traffico” tout court, e non solo dunque quelli specificamente finalizzati alla fatturazione. “Dobbiamo quindi ritenere che questi dati siano quelli di cui alla definizione ampia ex art. 4, 2° comma, lett. h, gli stessi cioè regolati dal primo comma dell’art. 123” (F. Veutro)[243].

Le norme del decreto pongono inoltre problemi – secondo coloro che accolgono la prima delle tesi su esposte – per quanto concerne la loro applicabilità agli ISP, in quanto il legislatore nella formulazione del testo normativo ha adottato come parametro di riferimento i fornitori di servizi di telefonia e i carrier.

È stato efficacemente osservato in proposito che “L’aspetto paradossale della situazione creata dal D.L. 354/03 è che, in rapporto ai servizi Internet, l’obbligo di conservazione per gli ISP si configura a seconda della tipologia di commercializzazione dei prodotti. Se housing, hosting, mail e via discorrendo sono fatturati a canone fisso, non c’è obbligo di conservazione. Se gli stessi servizi sono fatturati a tempo o a volume i dati di traffico vanno conservati. È facile immaginare che, se questo decreto legge dovesse essere convertito così com’è, gli ISP dovranno rivedere profondamente la propria offerta commerciale. O addirittura, valutare la possibilità di uscire da questo mercato. Il che, per certi versi, favorirebbe anche l’opera degli investigatori, che avrebbero così a che fare con un numero ridotto di interlocutori. Ma non farebbe certo bene al sistema-paese” (A. Monti)[244].

Il decreto-legge 354/2003 è stato convertito con modificazioni dalla legge 45/2004[245]. Conseguentemente, il testo vigente dell’art. 132 del Codice della privacy risulta pertanto, allo stato, essere il seguente[246].

“Art. 132 (Conservazione di dati di traffico per altre finalità) - 1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi, per finalità di accertamento e repressione dei reati.

2. Decorso il termine di cui al comma 1, i dati relativi al traffico telefonico sono conservati dal fornitore per ulteriori ventiquattro mesi per esclusive finalità di accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.

3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del giudice su istanza del pubblico ministero o del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all’articolo 8, comma 2, lettera f), per il traffico entrante[247].

4. Dopo la scadenza del termine indicato al comma 1, il giudice autorizza l’acquisizione dei dati, con decreto motivato, se ritiene che sussistano sufficienti indizi dei delitti di cui all’articolo 407, comma 2, lettera a), del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.

5. Il trattamento dei dati per le finalità di cui ai commi 1 e 2 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti ai sensi dell’articolo 17, volti anche a[248]:

a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento di cui all'allegato b);

b) disciplinare le modalità di conservazione separata dei dati una volta decorso il termine di cui al comma 1;

LE COMUNICAZIONI ELETTRONICHE
NEL CODICE DELLA PRIVACY: SICUREZZA, RISERVATEZZA E SPAMMING
La disciplina di attuazione della direttiva 2002/58/CE

Avv. Giuseppe Briganti

IuSReporteR.it eSplorazioni giuridiche www.iusreporter.it	Torna indietro - Pagina Iniziale - IR Documenti

LE COMUNICAZIONI ELETTRONICHE NEL CODICE DELLA PRIVACY: SICUREZZA, RISERVATEZZA E SPAMMING La disciplina di attuazione della direttiva 2002/58/CE

Avv. Giuseppe Briganti

LE COMUNICAZIONI ELETTRONICHE
NEL CODICE DELLA PRIVACY: SICUREZZA, RISERVATEZZA E SPAMMING
La disciplina di attuazione della direttiva 2002/58/CE