Incredibile ma vero: il Codice Privacy cambia ancora! Sembra proprio non voler finire questo processo di adattamento che la normativa in materia di privacy sta subendo nel corso degli ultimi anni. Anzi, non abbiamo ancora fatto in tempo a smaltire i cambiamenti organizzativi dell’ultima manovra del Governo Monti che già il legislatore comunitario ci impone un ulteriore adeguamento. Infatti, con i decreti legislativi del 28 maggio 2012, n. 69 e n. 70 sono state apportate delle rilevanti modifiche, rispettivamente, al Codice in materia di protezione dei dati personali e al Codice delle comunicazioni elettroniche.
Il recente decreto legislativo 28 maggio 2012 n. 70 , infatti, affrontando argomenti molto specifici e tecnici che comprendono, tra l’altro, le reti, le radiofrequenze, gli elenchi degli abbonati, si occupa anche della sicurezza e dell’integrità delle reti di comunicazione elettronica accessibili al pubblico. In particolare, poiché si tratta di precetti finalizzati a prevenire e limitare le conseguenze negative di incidenti che pregiudicano la sicurezza, è chiaro che il decreto ha inciso in maniera diretta anche sull’applicazione della normativa in materia di corretto trattamento dei dati di cui al d.lgs. 196/2003.
Soffermandoci, invece, ad analizzare la sola portata dei nuovi obblighi introdotti dal d.lgs. 69/2012 in capo ai fornitori di servizi di comunicazione elettronica accessibile al pubblico, si evince la costante sensibilità del legislatore, comunitario e nazionale, nei confronti della tutela dei dati personali nel mondo della comunicazione elettronica e la consapevolezza – evidenziata anche dal considerando 61 della direttiva 2009/136/CE – che una violazione di dati personali, se non trattata in modo adeguato e tempestivo, può provocare un grave danno economico e sociale.
Già nella legge delega, che ha portato all’emanazione di tali decreti legislativi, veniva stabilito che nel settore del trattamento dei dati personali deve essere assicurato il rafforzamento della sicurezza e riservatezza delle comunicazioni, nonché della protezione dei dati personali e delle informazioni già archiviate nell’apparecchiatura terminale, fornendo all’utente indicazioni chiare e comprensibili circa le modalità di espressione del proprio consenso, in particolare mediante le opzioni dei programmi per la navigazione nella rete Internet o altre applicazioni. Era previsto anche il conseguente riassetto del sistema sanzionatorio del Codice in materia di protezione dei dati personali (d.lgs. 196/2003), pure mediante depenalizzazione.
Tra le modifiche introdotte da tale decreto al Codice Privacy, è innanzitutto da considerare la nuova definizione di violazione di dati personali identificata come la ” violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico “. Sulla base di questa definizione sono da considerare le modifiche apportate al titolo V rubricato “Sicurezza dei dati e dei sistemi”, che hanno ristrutturato l’art. 32 e introdotto l’art. 32 bis, i quali prevedono, rispettivamente, le misure di sicurezza da adottare per prevenire le citate violazioni e gli adempimenti da porre in essere nel caso tali violazioni di dati personali si verificassero.
L’articolo 32 del Codice Privacy – che già prevedeva l’adozione, da parte dei fornitori, di misure tecniche e organizzative adeguate per salvaguardare la sicurezza dei servizi di comunicazione elettronica accessibile al pubblico – in seguito all’entrata in vigore del d.lgs. 68/2012 prevede ora che il fornitore possa adottare le misure di sicurezza anche attraverso altri soggetti a cui sia stata affidata l’erogazione del servizio di comunicazione elettronica accessibile al pubblico.
Ancora, ai sensi dell’art. 32 i fornitori devono garantire che l’accessibilità dei dati sia permessa solo al personale autorizzato e per i fini previsti e devono garantire la protezione dalla distruzione anche accidentale, dalla perdita o alterazione anche accidentale e dall’archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti dei dati relativi al traffico e all’ubicazione e degli altri dati personali archiviati o trasmessi.
È importante considerare che, se in precedenza nel caso di sussistenza di un particolare rischio di violazione della sicurezza della rete era previsto che il fornitore di un servizio di comunicazione elettronica accessibile al pubblico avesse l’obbligo di informare il Garante, l’Autorità per le garanzie nelle comunicazioni, gli abbonati e, ove possibile, gli utenti, ora l’introduzione dell’articolo 32 bis, che individua gli “Adempimenti conseguenti ad una violazione di dati personali”, pone tutta una serie di obblighi di comunicazione in capo al fornitore tali da mettere in moto un meccanismo in cui tutte le parti interessate (fornitore, contraente, utente e Garante Privacy) cooperino al fine di limitare eventuali danni. La funzionalità di questo meccanismo dipenderà, ovviamente, dalla tempestività della comunicazione e dall’efficienza delle misure di sicurezza predisposte dal fornitore e utilizzate dallo stesso nell’immediatezza della violazione.
Il 32 bis mette in rilievo come, in caso di violazione di dati personali nei servizi di comunicazione elettronica accessibili al pubblico, sia necessaria un’adeguata “preparazione” del fornitore ad affrontare tali circostanze. Il fornitore, infatti, dovrà:
– comunicare, senza ritardo, all’Autorità Garante Privacy le violazioni dei dati personali;
– se la violazione rischia di arrecare pregiudizio anche ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore dovrà comunicare anche agli stessi e senza ritardo l’avvenuta violazione. È previsto che tale comunicazione possa essere omessa nel solo caso in cui il fornitore dimostri al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure siano state applicate ai dati oggetto della violazione.
Se in seguito a eventuali violazioni sono presumibili ripercussioni negative, e il fornitore non vi abbia già provveduto, il Garante potrà comunque intervenire obbligando il fornitore a comunicare l’avvenuta violazione al contraente o ad altra persona.
Il legislatore ha previsto anche il contenuto minimo che le suddette comunicazioni agli interessati dovranno contenere:
1. descrizione della natura della violazione;
2. punti di contatto utili ad ottenere ulteriori informazioni;
3. elenco delle misure che il fornitore consiglia di adottare per attenuare i possibili effetti pregiudizievoli della violazione.
La comunicazione al Garante dovrà contenere, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.
Ciò detto, e data l’estrema rilevanza e delicatezza del tema, avrà fondamentale importanza l’eventuale pubblicazione di un provvedimento o linee guida da parte del Garante, contenente orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l’obbligo di comunicare le violazioni di dati personali, il formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea.
Il decreto ha inoltre stabilito, per consentire al Garante di verificare il rispetto delle disposizioni di legge, che i fornitori tengano un aggiornato inventario delle violazioni di dati personali all’interno del quale indichino le conseguenze derivate e i provvedimenti adottati per porvi rimedio.
Posto che si tratta di nuove misure di sicurezza e organizzative che richiederanno uno sforzo non di poco conto all’interno dei soggetti direttamente coinvolti, è necessario che i fornitori di servizi si adeguino prontamente a tali previsioni, sia per dare maggiori garanzie agli utilizzatori, sia per evitare le onerose sanzioni previste in caso di violazione dall’art. 162 ter del Codice Privacy, anch’esso di nuova introduzione.
Infatti, l’omessa comunicazione ai soggetti interessati e al Garante, così come la mancata predisposizione dell’inventario delle violazioni, potrebbe costare molto caro a tutti i fornitori di servizi di comunicazione elettronica accessibili al pubblico. E se negli ultimi due casi la singola violazione può implicare una sanzione amministrativa dai 25.000 ai 150.000 euro per l’omessa comunicazione al Garante e dai 25.000 ai 120.000 euro nell’altro caso, l’omessa comunicazione ai contraenti o alle altre persone interessate, seppure nei limiti del 5% del volume d’affari e con ulteriori limiti nei casi di minore gravità, potrebbe costare da un minimo di 150 euro fino a un massimo di 1.000 euro per ogni singola comunicazione omessa.
La normativa prevede inoltre che, nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l’erogazione del servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest’ultimo di effettuare gli adempimenti contemplati dal presente articolo. Dato ciò, le medesime sanzioni previste per i fornitori si applicheranno anche nei confronti dei soggetti a cui il fornitore abbia affidato l’erogazione dei servizi citati qualora tali soggetti non gli abbiano comunicato tempestivamente le informazioni necessarie.
Sono stati oggetto di importanti modifiche anche altri articoli del Codice Privacy – 121, 122, 123, 130, 164 bis e 168 – ed è stato ampliato l’ambito del trattamento dei servizi interessati, comprendendo non solo la fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche, ma anche quelli che supportano i dispositivi di raccolta dei dati e di identificazione.
In particolare si è introdotto il principio dell’importanza dell’acquisizione del consenso del contraente/utente e delle modalità di archiviazione e accesso alle informazioni, prevedendo che ” l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate siano consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio “.
Al di fuori di questa casistica non è, in ogni caso, consentito l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente per archiviare informazioni o per monitorare le operazioni dell’utente stesso.
Sulla problematica relativa all’acquisizione del consenso, invece, viene stabilito che ai fini dell’espressione del consenso si possono utilizzare specifiche configurazioni di programmi informatici o di dispositivi, a patto che essi siano facilmente utilizzabili dal contraente o utente, lasciando spazio così a una eventuale acquisizione informatica o telematica del consenso.
Gli articoli da 123 a 131, invece, si segnalano per la generale modifica della parola “abbonato” in quella di “contraente”, intendendosi come tale ” qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate “. Viene estesa, pertanto, anche alle persone giuridiche, enti o associazioni la possibilità di esercitare alcuni diritti e, in particolare, quelli previsti dall’art. 130 (Comunicazioni indesiderate) che vietano le campagne di direct marketing senza un esplicito consenso.
Concludiamo con un breve cenno alle nuove sanzioni. Per rendere effettivo il rispetto di tale obbligo in capo ai contraenti e rafforzare il potere coercitivo delle disposizioni introdotte, sono state apportate alcune modifiche anche in tema di “Casi di minore gravità e ipotesi aggravate” e “Falsità nelle dichiarazioni e notificazioni al Garante” (artt. 164-bis e 168). In quest’ultimo caso, in particolare, vengono punite anche le dichiarazioni o attestazioni di notizie o circostanze false ovvero la produzione di atti o documenti falsi nelle comunicazioni previste dall’art. 32-bis.
Avv. Graziano Garrisi (Vice coordinatore ABIRT )
Dott.ssa Debora Montagna
Digital & Law Department – Studio Legale Lisi