RISPOSTA ALLA CONSULTAZIONE PUBBLICA SUL RECEPIMENTO DELLA DIRETTIVA 2009/136/CE: EMENDAMENTI AL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

RISPOSTA ALLA CONSULTAZIONE PUBBLICA SUL RECEPIMENTO DELLA DIRETTIVA 2009/136/CE: EMENDAMENTI AL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Al Dipartimento per le Comunicazioni del Ministero dello Sviluppo Economico

dip.comunicazioni@sviluppoeconomico.gov.it

Spett.le Ministero dello Sviluppo Economico – Dipartimento per le Comunicazioni,

innanzitutto una premessa: il Decreto Salva-Italia, all’art. 40 comma 2, ha eliminato le persone giuridiche, gli enti e le associazioni dal novero degli “interessati”. In sostanza, essi non sono più tutelati dalla normativa privacy, e i dati loro relativi non sono più considerati “personali”. Il Decreto ha però lasciato intatta, correttamente alla luce del considerando 12 della Direttiva 2002/58/CE, la definizione di “abbonato”, contenuta nel comma 2 dell’art. 4 (lett. f) del Codice privacy, che continua a comprendere anche le persone giuridiche, gli enti e le associazioni.

Questo comporta, come conseguenza, che alcune norme del Codice si continuino ad applicare anche alle persone giuridiche per la tutela di loro legittimi interessi: in particolare sono, tra le altre, le attuali norme previste dagli artt. 122 (in materia di archiviazione e monitoraggio di informazioni sul terminale dell’abbonato e dell’utente), 126 (in materia di localizzazione), 129 (in materia di elenchi), 130 commi 3-bis e 3-ter (in materia di marketing verso abbonati pubblicati sugli elenchi) del Codice privacy.

Resta tuttavia un dubbio: ferma restando la possibilità di adire l’autorità giudiziaria ordinaria, come faranno a difendersi pienamente gli abbonati che non siano anche “interessati”, cioè persone giuridiche, enti, associazioni, non potendo ricorrere al Garante in caso di violazioni delle (ormai poche) norme che continuano a riguardarli? E’ un vuoto normativo che andrebbe subito corretto (peraltro in armonia con l’art. 15-bis della Direttiva 2002/58/CE come modificato dall’articolo 2 della Direttiva 2009/136/CE).

Come Istituto richiamiamo dunque l’attenzione del Legislatore sull’opportunità di modificare il Codice agli articoli 141 e ss., riconoscendo anche agli abbonati che siano persone giuridiche, enti o associazioni una piena legittimazione nel ricorso amministrativo al Garante per ottenere il rispetto delle residuali tutele che li riguardano. Questo, a maggior ragione alla luce delle innovazioni che il recepimento della direttiva 2009/136/CE apporterà al Codice e di cui si commenterà oltre.

Seguono i commenti specifici ai punti considerati rilevanti nello Schema di emendamenti al Codice in materia di protezione dei dati personali, in recepimento della Direttiva 2009/136/CE, come sottoposto a consultazione dal Ministero dello Sviluppo Economico:

All’art. 32 bis comma 2, si suggerisce di aggiungere dopo le parole “o di altra persona” la dicitura “direttamente identificata o identificabile dal fornitore”: diversamente, si costringerebbe il fornitore ad assumersi l’onere (giuridicamente “diabolico”) di reperire ogni eventuale e ipotetico soggetto anche solo astrattamente e indirettamente coinvolto nella violazione di dati personali, per avvisarlo. Risulterebbe una “missione impossibile” e di fatto inapplicabile.

Si suggerisce di modificare l’articolo 122, comma 1 nel seguente modo:

Nei limiti di cui all’articolo 5 commi 1 e 2, l’archiviazione delle informazioni nell’apparecchio terminale di un abbonato o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che l’abbonato o l’utente, se direttamente identificabili da parte di chi archivia o accede alle informazioni, abbiano espresso preliminarmente il proprio consenso, dopo essere stati informati ai sensi dell’articolo 13. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di dati su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente, ai quali i dati personali oggetto di trattamento si riferiscono, a erogare tale servizio.

Le modifiche di cui sopra tengono conto del fatto che il consenso deve essere rilasciato da un soggetto identificato o identificabile, altrimenti esso non avrebbe alcun valore. Inoltre, giova ribadire che il caso del trattamento di dati anonimi esula dall’ambito delle tutele contenute nella normativa in materia di protezione dei dati personali.

All’articolo 122 comma 2, si suggerisce di eliminare le parole “l’abbonato o”, giacché il considerando 66 della Direttiva 2009/136/CE non parla di abbonati ma solo di utenti, ed è quella la derivazione di detto comma 2. Inoltre, manca il riferimento all’opposizione al trattamento o, comunque, alla possibilità di revoca del consenso dato: diversamente, per come è scritta la bozza attualmente, si arriverebbe al paradossale effetto di predisporre sì un robusto opt-in preventivo (dando molte garanzie ad abbonati e utenti) ma di rendere quasi impossibile l’opt-out successivo, cioè l’uscita, la possibilità di non vedersi più oggetto di archiviazione e monitoraggio. Si suggerisce quindi di modificare l’articolo 122, comma 2 nel seguente modo:
Ai fini dell’espressione del consenso preliminare di cui al comma 1 e della sua successiva eventuale e libera revoca, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per l’utente.

All’articolo 130 comma 1, si suggerisce di aggiungere dopo la parola “abbonato” la dicitura che sia persona fisica, in armonia con il comma 5 dell’articolo 13 della Direttiva 2002/58/CE come modificato dall’articolo 2 della Direttiva 2009/136/CE. Diversamente, nel caso in cui non si intendesse seguire l’impostazione europea (quella suggerita nelle due righe sopra) e si volesse invece estendere la protezione dall’email marketing anche alle persone giuridiche, non possiamo non constatare che si stanno comunque creando nel Codice privacy due fasce di protezione: A) interessati, abbonati persone fisiche e utenti; B) abbonati persone giuridiche. Come Istituto, apprezziamo questa novità, che ci avvicina a sistemi anglosassoni. Tuttavia, per gli abbonati a servizi telefonici la riforma del tele-marketing ha creato una coerenza sistematica fra uno strumento di tutela preventiva (iscrizione al registro delle opposizioni) e uno di tutela successiva (segnalazione al Garante, che può applicare sanzioni per il solo fatto che è stata violata la normativa sulla consultazione obbligatoria del registro). Perché non fare lo stesso anche per l’e-mail marketing nei confronti di persone giuridiche, cioè di indirizzi aziendali non nominativi (come gli info@)? Basterebbe creare un registro delle opposizioni anche per questo tipo di elenchi e avremmo una perfetta simmetria fra tutela degli abbonati persone giuridiche nel tele-marketing e nell’e-mail marketing. Questo, lo si ripete, nel caso in cui non si volesse seguire la soluzione più semplice, cioè il riferimento all’abbonato che sia persona fisica nell’art. 130 comma 1.

Roma, lì 18 dicembre 2011

Avv. Luca Bolognini

Presidente dell’Istituto Italiano per la Privacy

Istituto Italiano per la Privacy

e-mail: info@istitutoitalianoprivacy.org

sede: piazza di San Salvatore in Lauro, 13 – 00186 – Roma

Telefono: +39 06 97842491 Fax +39 06 23328983 www.istitutoprivacy.it