Privacy e comunicazioni elettroniche: sulle modifiche della direttiva 2002/58/CE il parere del garante europeo

Prosegue l'iter di revisione della direttiva 2002/58/CE, relativa alla tutela dei dati personali e della vita privata nelle comunicazioni elettroniche.
Rispetto al mio precedente post, segnalo che il garante europeo della protezione dei dati personali è intervenuto, nel frattempo, con un suo parere (2008/C 181/01).

L'opinione espressa è abbastanza articolata ed il giudizio che emerge è globalmente positivo, anche se non mancano punti, peraltro condivisibili, sui quali il garante chiede un maggior sforzo da parte del legislatore europeo.

In sintesi le questioni toccate riguardano il campo di applicazione della normativa, la notifica delle violazioni di sicurezza dei dati, la possibilità per le persone fisiche e giuridiche di promuovere azioni giudiziarie contro gli spammer e l'archiviazione di informazioni nel terminale dell'utente.

Campo di applicazione

Viene giudicata favorevolmente l'estensione del campo di applicazione alle reti di comunicazione pubbliche che supportano i dispositivi di raccolta ed identificazione dei dati (in pratica le applicazioni basate sull'identificazione a radiofrequenza o RFID).

Si richiede inoltre di includere in tale ambito anche i fornitori di servizi di comunicazione elettronica su reti miste (pubbliche/private) o private.

Questo allargamento, condiviso anche dal gruppo di lavoro dell'art. 29, sarebbe giustificabile in rapporto alla tendenza dei servizi di comunicazione a diventare sempre più un mix di risorse pubbliche e private e, quindi, alla crescente importanza che vanno assumendo queste reti e, con esse, al maggior numero di rischi per i dati personali degli utenti.

Notifica delle violazioni di sicurezza dei dati

Nel nuovo testo l'obbligo di notifica delle violazioni di sicurezza dei dati si applicherebbe ai soli fornitori di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche.

Tuttavia il garante europeo segnala l'opportunità di una attuazione su più vasta scala che ricomprenda anche i fornitori di servizi della società dell'informazione (banche, assicurazioni, servizi sanitari ed altre attività commerciali online).

Le ragioni sono da ricercare nell'ingente volume di dati trattati ormai anche da tali soggetti e nella loro natura spesso sensibile (dati inerenti la salute, carte di credito, ecc...).

A questo proposito condivido l'opinione sui riflessi indubbiamente positivi che questo comporterebbe, nel senso che:


  • l'obbligo di notifica migliorerebbe l'affidabilità dei fornitori di servizi
  • l'incremento di responsabilità costituirebbe una motivazione valida per aumentare gli investimenti in sicurezza e migliorare le misure applicate (spesso riconducibili alle sole misure tecnologiche)
  • la notifica delle violazioni agirebbe come elemento di contrasto al fenomeno crescente dei furti di identità dal momento che i soggetti notificati potrebbero adottare le misure necessarie per impedire un utilizzo illecito dei propri dati (ad esempio una modifica, nel caso di credenziali di accesso, od un blocco, nel caso di carte di credito, e così via)

Tutela giudiziaria contro gli spammer

La modifica proposta prevede la possibilità per le persone fisiche e giuridiche, portatrici di un legittimo interesse, di intentare azioni giudiziarie nei confronti di coloro che violano le disposizioni relative all'invio di comunicazioni elettroniche indesiderate (in pratica i cd. spammer).

Ciò vale soprattutto per i fornitori dei servizi di comunicazione che hanno ovviamente tutto l'interesse commerciale di perseguire coloro che abusano delle loro reti ma anche per le associazioni di consumatori vittime del fenomeno.

Il garante, pur apprezzando la portata della nuova formulazione, la ritiene limitante in quanto non sarebbe, comunque, consentito proporre azioni con riferimento a violazioni di altre disposizioni della direttiva, cosa questa che, in effetti, mgliorerebbe sensibilmente l'efficacia e l'applicazione della stessa.

Archiviazione ed accesso alle informazioni sul terminale dell'utente

Viene espresso un particolare apprezzamento per la modifica dell'art. 5, paragrafo 3, della direttiva 2002/58/CE riguardante l'ipotesi di archiviazione ed accesso alle informazioni sul terminale dell'utente mediante tecnologie come cookies, spyware ed altri dispositivi simili.

L'eliminazione dal testo della norma del riferimento alle "reti di comunicazione elettronica", equivarrebbe a rendere operanti le particolari cautele, connesse all'esigenza di informare gli utenti ed al loro diritto di rifiutare il trattamento dei propri dati, anche nei casi di accesso ed archiviazione mediante supporti esterni (cd, dvd, chiavi usb, ecc..) e non soltanto tramite reti di comunicazione.

0 commenti: