Sulla proposta di revisione della direttiva 2002/58/CE

Il 13 novembre del 2007 la commissione delle comunità europee ha presentato una proposta di modifica della direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche .

La proposta reca in sè alcune novità abbastanza rilevanti dirette a rafforzare la tutela della vita privata e della riservatezza dei dati attraverso un complesso di disposizioni più rigoroso in materia di sicurezza e meccanismi di controllo:

1. obbligo di notifica delle violazioni di sicurezza che comportano la perdita dei dati personali degli utenti o compromettono i dati stessi;
2. rafforzamento delle disposizioni di attuazione relative alla sicurezza delle reti e delle informazioni, da adottare previa consultazione dell'Autorità;
3. rafforzamento delle disposizioni di attuazione e controllo per far sì che, a livello dei singoli Stati membri, siano disponibili misure sufficienti di lotta nei confronti dei messaggi di posta elettronica indesiderata (spam);
4. precisazione che la direttiva si applica anche alle reti di comunicazione pubbliche che supportano i dispositivi di raccolta dati e di identificazione (compresi i dispositivi funzionanti senza contatto, quali gli RFID (Radio Frequency Identification Devices, dispositivi di identificazione a radiofrequenza);

In particolare l'obbligo di notifica, di cui al primo punto, verrebbe introdotto attraverso una modifica dell'articolo 4 della direttiva citata, intitolato "Sicurezza del trattamento", tramite l'aggiunta di un paragrafo (3) dal seguente tenore: "Se si produce una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di servizi di comunicazione accessibili al pubblico nella Comunità, il fornitore dei servizi di comunicazione elettronica accessibili al pubblico comunica senza indugio l'avvenuta violazione all'abbonato e all'autorità nazionale di regolamentazione. La comunicazione all'abbonato contiene almeno una descrizione della natura della violazione ed elenca le misure raccomandate per attenuarne i possibili effetti negativi. La comunicazione all'autorità nazionale di regolamentazione descrive, inoltre, le conseguenze della violazione e le misure adottate dal fornitore per porvi rimedio".

Dunque con tale modifica diventerebbe operativo nell'ordinamento giuridico comunitario un meccanismo analogo a quello già in vigore negli Stati Uniti, previsto dalla "California Security Breach Notification Law (SB 1396)", anche se di ambito più ristretto, applicandosi soltanto ai fornitori di servizi di comunicazione accessibili al pubblico.

Altrettando importante, anche in una ottica di rafforzamento delle azioni di contrasto al fenomeno delle comunicazioni commerciali indesiderate, appare inoltre la previsione del nuovo paragrafo 6 dell'articolo 13 che prevede espressamente la possibilità per i fornitori di servizi di comunicazione elettronica di promuovere azioni giudiziarie per tutelare gli interessi propri o dei propri clienti.