Il Codice Privacy ancora in un vortice di cambiamenti: ora tocca alle comunicazioni elettroniche

News 06/07/2012

di avv. Graziano Garrisi - Vice coordinatore ABIRT - Studio Legale Lisi

Premessa

 Alla storia che pare infinita dei cambiamenti apportati al Codice Privacy negli ultimi anni si è aggiunto di recente un altro capitolo, quello introdotto dai decreti legislativi del 28 maggio 2012, n. 69 e n. 70, che recepiscono quanto prescritto dal legislatore comunitario nelle direttive 2009/136/CE e 2009/140/CE - riguardanti rispettivamente il trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche la prima e le reti e i servizi di comunicazione elettronica la seconda - e nel regolamento n. 2006/2004 (cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori).
Nello specifico, mentre il decreto legislativo n. 70 - che affronta i dettagli tecnici delle reti e delle radiofrequenze - tocca il tema della sicurezza e dell'integrità delle reti di comunicazione elettronica accessibili al pubblico, il d.lgs. 69/2012 enumera gli obblighi dei fornitori di tali servizi di comunicazione elettronica, sottolineando quanta importanza abbia un intervento tempestivo e corretto per arginare i danni di un'eventuale violazione dei dati personali.
Tale decreto ha introdotto, tra le altre¹, la definizione di violazione di dati personali, esplicitata come la "violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico". Da tale definizione - che risulta alquanto specifica e tecnica, con tutto ciò che ne consegue in termini di difesa, in quanto restringe di molto l'ambito di applicazione della violazione, tagliando fuori altre attività che potrebbero ledere i diritti degli interessati - derivano i cambiamenti apportati al titolo V (Sicurezza dei dati e dei sistemi) che hanno modificato l'art. 32 (misure di sicurezza per prevenire le violazioni) e introdotto l'art. 32 bis (obblighi da adempiere in caso di violazione).

Gli articoli 32 e 32-bis del Codice Privacy
Se già prima l'art. 32 conteneva le misure di sicurezza che il fornitore era obbligato ad adottare, ora, alla luce di tale modifica, lo stesso può farlo anche tramite soggetti terzi a cui l'erogazione del servizio di comunicazione elettronica accessibile al pubblico sia affidata.
Sempre secondo l'art. 32, i fornitori devono inoltre garantire:
- una generale politica di sicurezza nella gestione dei dati;
- che ai dati acceda solo il personale autorizzato e per i fini previsti;
- che vengano protetti dalla distruzione, perdita o alterazione anche accidentale, dalla archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti i dati riguardanti il traffico e l'ubicazione e gli altri dati personali archiviati o trasmessi.
L'articolo 32 bis individua inoltre gli adempimenti da assolvere qualora avvenga una violazione dei dati personali. Se in precedenza, in caso di sussistenza di un particolare rischio di violazione della sicurezza della rete, il fornitore aveva l'obbligo di informare il Garante, l'Autorità per le garanzie nelle comunicazioni, gli abbonati e, ove possibile, gli utenti, ora il legislatore introduce una serie di obblighi di comunicazione in capo al fornitore, finalizzati a coinvolgere tutte la parti in causa (fornitore, contraente, utente e Garante Privacy), al fine di azionare un meccanismo di cooperazione per limitare il più possibile il verificarsi di eventuali danni.
L'efficienza di tale meccanismo discenderà dalla tempestività della comunicazione e dall'efficienza delle misure di sicurezza predisposte dal fornitore e utilizzate dallo stesso nell'immediatezza della violazione.
Acquista centralità, dunque, la figura del fornitore che deve risultare "preparato" ad affrontare l'ipotesi di violazione di dati personali nei servizi di comunicazione elettronica accessibili al pubblico in quanto, se si verifica tale evenienza, dovrà comunicarla senza ritardo:
- all'Autorità Garante Privacy;
- al contraente o a altra persona nel caso in cui la violazione rischi di arrecare pregiudizio anche ai dati personali o alla riservatezza di questi ultimi. Il fornitore è esonerato dal fornire tale comunicazione solo nel caso in cui dimostri al Garante "di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione".
È previsto inoltre il potere in capo al Garante di imporre al fornitore, qualora questi non vi abbia già provveduto, di comunicare al contraente o ad altra persona l'avvenuta violazione, quando da questa l'Autorità ritenga possano derivare ripercussioni negative. Viene dettagliato nel Codice Privacy anche il contenuto minimo di siffatta comunicazione che dovrà indicare "una descrizione della natura della violazione di dati personali", "i punti di contatto presso cui si possono ottenere maggiori informazioni", elencare "le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali". La comunicazione al Garante dovrà inoltre contenere "le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio".
Il comma 6 del citato articolo 32 bis concede al Garante, inoltre, la facoltà di emanare orientamenti e istruzioni in relazione:
-  alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali,
-  al formato applicabile a tale comunicazione,
- alle modalità di effettuazione di tale comunicazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea.
Al fine di consentire al Garante una più immediata ed efficace verifica del rispetto delle disposizione di legge, il comma 7 dell'art. 32 bis ha introdotto l'obbligo per i fornitori di tenere un "aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio".
La nuova disciplina impone inoltre ai soggetti terzi a cui il fornitore avrà, eventualmente, deciso di affidare il servizio di comunicazione elettronica accessibile al pubblico, di comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui all'art. 32 bis.

Le sanzioni
L'art. 162-ter, inserito dall'articolo 1, comma 9, del D.Lgs. 28 maggio 2012, n. 69 e rubricato "Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico" prevede le sanzioni in relazione al mancato adempimento delle prescrizioni di cui all'art. 32 bis.
È dunque necessario che i fornitori di servizi ottemperino prontamente alle prescrizioni di cui al citato articolo, in quanto l'omissione degli obblighi previsti di comunicazione ai soggetti interessati e al Garante, così come la mancata predisposizione dell'inventario delle violazioni, potrebbe costare molto caro a tutti i fornitori di servizi di comunicazione elettronica accessibili al pubblico. E se la singola violazione può implicare una sanzione amministrativa dai 25.000 ai 150.000 euro per l'omessa comunicazione al Garante e da un minimo di 150 euro fino a un massimo di 1.000 euro per ogni singola comunicazione omessa al contraente o ad altra persona, (seppure nei limiti del 5% del volume d'affari e con ulteriori limiti nei casi di minore gravità), potrebbe costare dai 25.000 ai 120.000 euro nel caso di inottemperanza al comma 7 del citato art. 32 bis.
In forza dell'obbligo di comunicazione incombente anche in capo ai terzi affidatari del servizio di comunicazione elettronica accessibile al pubblico, di cui all'ultimo comma dell'art. 32 bis, le medesime sanzioni previste per i fornitori si applicheranno anche nei confronti di questi ultimi soggetti qualora questi non abbiano comunicato tempestivamente le informazioni necessarie in modo da permettere al fornitore di adempiere agli obblighi di legge.
Per rendere effettivo il rispetto di tali obblighi in capo ai contraenti e rafforzare il potere coercitivo delle disposizioni introdotte in seguito alle modifiche indicate, oltre all'art. 162-ter già esaminato, sono state introdotte alcune modifiche anche agli artt. 164-bis e 168 in "Casi di minore gravità e ipotesi aggravate" e nelle ipotesi di "Falsità nelle dichiarazioni e notificazioni al Garante"; in quest'ultimo caso, in particolare, vengono punite anche le dichiarazioni o attestazioni di notizie o circostanze false, ovvero la produzione di atti o documenti falsi nelle comunicazioni previste dall'art. 32-bis.

L'ampliamento dell'ambito del trattamento dei servizi interessati
Le modifiche hanno interessato anche gli artt. 121 e ss. (capo I del titolo X della seconda parte del Codice Privacy), riguardante il trattamento dei dati personali connesso non solo alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, ma anche alla fornitura di quei servizi che supportano i dispositivi di raccolta dei dati e di identificazione.
Viene così riscritto l'art. 122 che prevede che "L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente".
Il comma 2 bis dell'art. 122 fa espresso divieto di utilizzare una rete di comunicazione elettronica "per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente stesso".
Sulla problematica relativa all'acquisizione del consenso, invece, il comma 2 dell'art. 122 consente l'utilizzazione di "specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente", lasciando spazio così a una eventuale acquisizione informatica o telematica del consenso del contraente o dell'utente (persona fisica) interessati al trattamento.
Negli articoli da 123 a 131 emerge la modifica della parola "abbonato" in quella di "contraente", intendendosi con tale termine "qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate". Con molta probabilità l'intento del legislatore è forse stato quello di rimediare alla svista della precedente modifica al Codice Privacy con cui aveva omesso di eliminare i riferimenti alle persone giuridiche nella definizione di "abbonato". Tuttavia, anche nella nuova formulazione, sarà da verificare se la conseguenza di tale mutamento di definizione sarà anche l'estensione alle persone giuridiche, enti o associazioni della possibilità di esercitare i diritti di cui all'art. 130 (Comunicazioni indesiderate), in forza del quale "Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente".
Il richiamo, nell'articolo appena menzionato, alla normativa italiana in materia di commercio elettronico (d.lgs. 70/2003), infine, fa intravedere la volontà del legislatore di operare un raccordo tra le due normative nella delicata materia del marketing e comunicazioni commerciali, a conferma di ciò, il comma 5 vieta "in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003".
Con tali modifiche, pertanto, è stato aggiunto un altro importante tassello per la tutela dei diritti degli utenti nel settore delle telecomunicazioni, i quali d'ora in poi avranno un'ulteriore arma  contro le violazioni dei dati personali e lo spam selvaggio. Una delle priorità delle nuove regole in tale settore, infatti, è la tutela della privacy dei cittadini europei. Tali modifiche legislative, in attesa della nuova regolamentazione a livello europeo della privacy, porteranno sicuramente molti benefici per rendere più sicuri nomi, indirizzi e-mail, informazioni bancarie dei clienti dei fornitori di servizi di telecomunicazione e di accesso ad Internet.

[1] Cambiano, tra l'altro, le definizioni di "chiamata", "reti di comunicazione elettronica", "rete pubblica di comunicazioni", "dati relativi all'ubicazione", contenute nell'articolo 4 del Codice Privacy. Relativamente alla vecchia definizione di "abbonato", invece, tale termine scompare in favore della nuova definizione di "contraente" (qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate).

 

Tag: privacy, comunicazioni elettroniche, Garante Privacy,