Le recenti modifiche al Codice della Privacy: note critiche
Articolo 20.07.2012 (Fabio Di Resta)
La presente nota rappresenta un’analisi giuridica del recente decreto legislativo del 28 maggio 2012 con il quale sono state recepite nel nostro ordinamento le disposizioni della Direttiva 2002/58/Ce (come modificata dalla Direttiva 2009/136/Ce). Le osservazioni critiche contenute nella nota - frutto della collaborazione di alcuni giuristi e tecnici del Centro europeo per la Privacy – mettono in evidenza le lacune normative, le criticità ed illustrano le conseguenze giuridiche connesse all’entrata in vigore della normativa. L’analisi si sofferma su tre punti critici di seguito descritti.
1. Sui contraenti-persone giuridiche e sulla mancanza di un pieno recepimento della direttiva comunitaria
I diversi interventi legislativi di semplificazione succedutisi nel tempo hanno portato a ridurre la portata applicativa del Codice della Privacy, insistendo dapprima sull’esclusione di alcuni trattamenti (che implicavano minori rischi per gli interessati) dall’art. 5 e poi riducendo sensibilmente la nozione di interessato contenuta nell’art. 4 del Codice.
Con la definizione attuale di “interessato” si intende “la persona fisica alla quale i dati si riferiscono” mentre il dato personale viene definito come “qualunque informazione relativa alla persona fisica, identificata o identificabile”; da tali definizioni sono pertanto escluse le persone giuridiche, così come gli enti e le associazioni (c.d. soggetti assimilati).
Ora a noi pare che, considerando la volontà del legislatore del 2003 – nonché tenendo anche in conto le successive modifiche legislative - volta ad introdurre un chiaro quadro definitorio nell’art. 4 (Titolo I rubricato come principi generali) del Codice, non si possa creare una figura di “contraenti o di altra persona” diversa dagli “interessati” e che benefici delle medesime tutele e garanzie apprestate dal Codice.
Da un punto di vista meramente logico, prima che giuridico, appare evidente che se viene a mancare la categoria principale, il “contenitore” principale, non può certo sopravvivere una sotto categoria; così è in questo caso. La nozione di “interessato” è la macro categoria, all’interno della quale è possibile creare delle sotto categorie; ma se l’ambito normativo di tale macro categoria viene compresso, ovviamente tutte le sotto categorie che potevano rientrare nella parte “eliminata”, non hanno più alcuna ragione logico-giuridica di esistere.
Come è noto, sotto un profilo interpretativo ed in base al noto art. 12 delle preleggi si stabilisce che solo nel caso in cui la lettera della legge dia luogo a dubbi si deve ricercare altri criteri ermeneutici. Sulla scorta di quanto poc’anzi riportato, si sostiene che la nozione di contraente introdotta, tenendo conto che la nozione di interessato si riferisce alle sole persone fisiche, sia da interpretarsi come non riferibile anche a persone giuridiche e soggetti assimilati privando al contempo gli stessi di una serie di garanzie e tutele previste dal Codice della privacy.
In questo senso è appena il caso di notare come sia fortemente in dubbio la legittimità medesima della creazione della categoria, anche e soprattutto per una questione di sistematicità della norma; le modifiche avrebbero dovuto da una parte restringere la nozione di interessato alle sole persone fisiche e dall’altra inserire, nella medesima rubrica, in “sostituzione” della vecchia nozione di interessato, altra nozione. Nelle stesse definizioni dell’art.4 tale criterio non appare essere stato seguito. Le conseguenze sono quelle appresso descritte.
Quanto premesso ha due ordini di conseguenze, comporta da una parte la mancanza di applicazione nel diritto interno della Direttiva comunitaria 2002/58/Ce (come modificata dalla Direttiva 2009/136/Ce) per la parte relativa alle persone giuridiche e ai soggetti assimilati (considerando 12 “gli abbonati ad un servizio di comunicazione elettronica accessibile al pubblico possono essere persone fisiche e giuridiche” e l’art. 1 par. 2 “la tutela dei legittimi interessi degli abbonati che sono persone giuridiche”), d’altra la mancanza di tutela amministrativa e giudiziaria, tutela comunque solo riferibile agli interessati (artt. 141 e ss. del Codice della Privacy).
Quanto sopra espresso implica, a titolo esemplificativo e nel contesto delle comunicazioni indesiderate (art. 130 del Codice della Privacy) che le persone giuridiche (e soggetti assimilati) iscritte nel Registro delle Opposizioni (Istituito con il D.P.R. 7 settembre 2010, n. 178 - Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali) non potranno ricevere tutela amministrativa innanzi al Garante per la protezione dei dati personali nonché alla Autorità giudiziaria, atteso che tali soggetti, abbonati o contraenti, non sono contenuti nella nozione di interessati di cui all’art. 4 del Codice.
Pertanto, al fine di evitare un incerto quadro giuridico che potrebbe essere pregiudizievole per gli utenti e contraenti in termini di mancanza di legittimazione per l’esercizio del diritto di accesso ai dati personali nonché del diritto di opposizione esercitabile nei confronti delle comunicazioni indesiderate, si auspica una correzione del testo normativo nel senso di specificare meglio la persona giuridica e i soggetti assimilati preferibilmente intervenendo direttamente sulla definizione di “dato personale” e “interessato” o in alternativa a questa via inserendo una definizione di “contraente” collegata a quella di “interessato” e “dato personale” nel contesto della parte generale all’art. 4 del Codice[1], come peraltro innanzi meglio articolato.
2. Sull’informativa al contraente/utente, le forme di espressione del consenso privacy e adeguato impianto sanzionatorio
Si sottolinea l’importanza che vengano emanate da parte del Garante per la protezione dei dati personali, come d’altro canto è già avvenuto in altri Stati Membri (p.e. l’Information Commissioner’s Office), le Linee guida che specifichino - agli operatori che operano in internet -come effettuare audit sui cookies, specifiche modalità di informative semplificate, specifiche forme di espressione del consenso.
La Direttiva 2002/58/Ce (come emendata dalla Direttiva 2009/136/Ce) ha introdotto il principio dell’”opt in” in luogo dell’”opt out”, e non riteniamo si possa tenere conto di diverse interpretazione della nozione di consenso contenute nella direttiva comunitaria, essendo specificato sia nella direttiva in italiano sia in inglese un esplicito richiamo al termine “consenso” ovvero “has given his or her consent” e non il diverso diritto al rifiuto “right to object”.
Per quanto attiene alla forme di espressione del consenso, dato l’impatto che il consenso espresso e preventivo può avere sull’”industria online”, occorre trovare delle modalità che siano conformi al dettato normativo comunitario prima e nazionale poi.
E’ appena il caso di sottolineare che in tale contesto il Gruppo europeo dei Garanti privacy ha adottato alcuni pareri, negli stessi è stata asserita la possibilità di poter ricorrere ad un meccanismo opt out, mettendone tuttavia in evidenza i presupposti e le condizioni di legittimità per un trattamento legittimo dei cookies[2].
D’altro canto, la strada percorsa in altri Stati Membri di un consenso implicito “implied consent[3]”, ammissibile solo qualora vengano soddisfatte specifiche condizioni che garantiscano che dall’azione compiuta dall’interessato si possa inferire una manifestazione di volontà non ambigua, sebbene sia consentita dalla normativa comunitaria non è da ritenersi conforme al nostro Codice nel quale all’art. 23 si specifica che il consenso deve essere espresso da parte dell’interessato[4].
Il principio del nostro Codice risulta pienamente confermato da quanto disposto con la recente novella (introdotto con il Decreto Legislativo n. 69/2012) la quale all’art 122 richiede che “il contraente o l'utente abbia espresso il proprio consenso”, nonché per quanto si prescrive al secondo comma dell’articolo medesimo il quale richiede che “ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente”.
Tuttavia, tale principio generale va sicuramente posto in relazione con un altro principio che ha un’importanza prominente nel Codice della Privacy quello della necessità ovvero della c.d. data minimisation (peraltro si rileva che il consenso espresso è un principio che costituisce un’eccezione propria del D.Lgs. n. 196/2003, in quanto il principio generale giuridico del nostro ordinamento è che il consenso possa tranquillamente essere tacito, salvo casi particolari, negli atti c.d. “ricettizi”). Riteniamo sia quindi necessario, nel definire le specifiche forme di espressione ammissibili in concreto, ricercare un giusto bilanciamento tra questi principi contrapposti, il consenso informato da una parte e la riduzione al minimo dei dati da trattare dall’altra, ovviamente compatibilmente con la specifica attività e lo specifico mezzo utilizzato.
Orbene, il rischio che ne deriverebbe in caso di un forte sbilanciamento a favore del consenso espresso è che per certificare l’effettiva espressione di tale consenso il titolare potrebbe essere costretto – necessariamente – a mantenere una mole di dati assolutamente spropositata, sia per poter eventualmente rispondere alle richieste di accesso, sia per tutelarsi di fronte ad eventuali denunzie di qualunque genere.
Alla luce di tale ultima preoccupazione, che riteniamo possa essere condivisa anche dall’Autorità Garante per la protezione dei dati personali, nonché dalle associazione e organismi di categoria coinvolti, auspichiamo che vengano individuate delle “forme di espressione del consenso” le più ampie possibili soluzioni pur nel rispetto di quanto prescritto dal Codice.
In tale contesto anche il recente parere del Gruppo europeo dei Garanti privacy, oltre a descrivere in dettaglio i due casi di esenzione del consenso previsti dall’art. 5(3) della direttiva 2002/58/Ce relativi ai cookie utilizzati per adempiere ad una esplicita richiesta dell’interessato e quelli strettamente necessari per eseguire un servizio di un fornitore della società dell’informazione, ha anche sottolineato l’importanza di conoscere necessariamente le caratteristiche dei cookie trattati dall’operatore, siano essi cookie di sessioni, persistenti, cookie di prime parti o di terze parti. Questi ultimi come noto contengono informazioni particolarmente utili per la profilazione degli utenti e per il marketing comportale e come tali necessitano di un necessario consenso espresso ed informato.
In effetti non basta effettuare un generico riferimento ai “cookies”, ma si deve sempre tenere presente il principio generale della normativa, ossia l’utente (interessato) deve essere sempre e chiaramente messo in condizioni di capire esattamente dove vadano a finire i propri dati. E non sono ammesse soluzioni auto referenziali o auto assolutorie, ovviamente.
Si sottolinea infine che la mancanza di un impianto sanzionatorio – sia pure graduato sulla base della natura dei dati trattati e dei soggetti coinvolti nel trattamento – rende la normativa (ovvero la c.d. cookies law) scarsamente efficace e con conseguente rischio di ampia disapplicazione della stessa.
Oppure, al contrario, in caso di atteggiamento ligio al dettato normativo, si rischierebbero sanzioni pesanti laddove la questione potrebbe – agevolmente – essere semplificata.
Sarebbe probabilmente opportuno in tale contesto prevedere un provvedimento a carattere generale che specifichi gli adempimenti obbligatori e le eventuali sanzioni in caso di inottemperanza, provvedimento che potrebbe adottarsi anche unitamente alle linee guida sopra richiamate.
3. Sulla violazione dei dati e sulla effettività delle misure adeguate
La normativa approvata prevede – allo stato per i soli fornitori di comunicazioni elettroniche accessibili al pubblico, sebbene la proposta di regolamento comunitario sopra richiamata preveda in futuro una forte estensione dell’ambito applicativo ad altri soggetti (p.e. banche, assicurazioni, Asl, enti locali, ecc.) – una procedura di comunicazione delle violazione di sicurezza che coinvolgono dati personali rivolta al Garante per la protezione dei dati personali ed eventualmente agli utenti. Tale procedura è ispirata prevalentemente ad un principio di maggiore responsabilizzazione dei titolari del trattamento (c.d. accountability) che dovranno dimostrare di avere adottato misure adeguate per proteggere i dati a pena di un sanzione amministrativa ma soprattutto del danno di immagine conseguente alla comunicazione agli utenti, nonché dell’esposizione al combinato disposto dell’art. 15 e dell’art. 2050 c.c. in materia di risarcimento del danno “tout court”.
Più nello specifico, al fine di garantire maggiore certezza per i fornitori di comunicazioni elettroniche, come espresso anche dal Gruppo europeo dei Garanti Art. 29 (WP 184[5]) si ritiene opportuna - data la genericità della definizione di “violazione dei dati” contenuta nell’art. 4 ed in particolare la procedura per compiere gli adempimenti previsti dall’art. 32 bis - l’adozione da parte del Garante per la protezione dei dati personali di linee guida con forte contenuto precettivo che specifichino per i fornitori le circostanze nelle quali è richiesta la notifica per la violazione dei dati, l’individuazione di un formato standard per le comunicazioni e le istruzioni per eseguire le comunicazioni sia al Garante che all’utente.
Infine, riteniamo che i termini entro i quali è necessario effettuare la comunicazione presentino alcune criticità, il testo del decreto recita infatti – fedelmente al testo comunitario – che “il fornitore comunica anche agli stessi (n.d.r. contraente o altra persona) senza ritardo l'avvenuta violazione”, effettuare una comunicazione senza ritardo può variare in base al contesto e alle procedure specifiche, sebbene pensiamo che occorra tenere in conto certamente delle diverse specificità di ciascuna azienda – soprattutto nell’ambito dei fornitori di comunicazione elettronica – riteniamo che sia altresì importante individuare dei criteri ed un limite massimo oltre il quale può ritenersi che si integri un ritardo di comunicazione. Tale esigenza emerge chiaramente nella recente proposta di regolamento comunitario della Commissione europea nella quale si stabilisce all’ art. 31 della stessa un termine di 24 ore dalla conoscenza dell’evento e stabilendo altresì che il ritardo venga comunque giustificato.
(Altalex, 20 luglio 2012. Articolo di Fabio Di Resta)
_______________
estratto da http://www.altalex.com/index.php?idnot=18955
Nessun commento:
Posta un commento