Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Lettera al Presidente della Commissione bilancio, tesoro e programmazione Camera dei Deputati On. Francesco Boccia

[vedi anche comunicato stampa del 9 luglio 2013]

Ill.mo
On. Francesco Boccia

Presidente della Commissione bilancio, tesoro e programmazione
Camera dei Deputati

Le scrivo in relazione al decreto-legge 21 giugno 2013, n. 69, recentemente approvato dal Governo per rilanciare l'economia, per segnalare, a dibattito parlamentare appena avviato, rilevanti criticità riscontrate in alcune disposizioni del provvedimento d'urgenza.

1. Ci si riferisce, in primo luogo, all'articolo 10 con il quale, per quanto è possibile trarre dalla relazione illustrativa al disegno di legge di conversione del decreto-legge (AC 1248), si intenderebbe rendere libero l'accesso ad Internet tramite rete wi-fi, visto lo sviluppo e l'enorme diffusione che hanno avuto di recente gli apparati portatili (notebook, tablet, cellulari), nonché la progressiva ristrutturazione del territorio mediante reti senza fili.

Tale "liberalizzazione" si realizzerebbe su più fronti: intervenendo sulla disciplina delle licenze e autorizzazioni per i "gestori" dell'offerta di accesso a Internet (licenza del questore; autorizzazione ministeriale, art. 10, comma 2, secondo periodo); rendendosi non necessaria l'identificazione personale dell'utilizzatore dell'apparato terminale (comma 1, primo periodo); facilitando l'installazione delle relative apparecchiature (abrogazione del c.d. "patentino installatori", cioè dell'obbligo di affidare i lavori di allacciamento dei terminali a imprese abilitate) (comma 3).

Sotto altro profilo, la norma obbliga i gestori a "garantire la tracciabilità del collegamento (MAC address)" e stabilisce che la "registrazione della traccia delle sessioni" ove non associata all'identità dell'utilizzatore "non costituisce trattamento di dati personali e non richiede adempimenti giuridici" (commi 1, secondo periodo e 2, primo periodo).

Queste ultime disposizioni sollevano, ad avviso del Garante, forti perplessità che si sente il dovere di rendere note.

Il Garante osserva preliminarmente che con tali previsioni il Governo -probabilmente quale misura "compensativa" sotto il profilo della sicurezza e dell'ordine pubblico rispetto al venir meno della possibilità di identificare la persona che accede ad Internet - introduce l'obbligo per i "gestori" di tracciare (o comunque garantire la tracciabilità di) alcune informazioni che, per quanto non individuate in maniera chiara, sono comunque "riconducibili" all'accesso alla rete da parte dell'utilizzatore del terminale.

Con ciò, si grava una platea considerevole di imprese (bar, ristoranti, alberghi) come pure di soggetti pubblici, di adempimenti alquanto onerosi, oggi non previsti, e comunque di difficile applicazione in mancanza di norme chiare, eppure immediatamente applicabili quali sono quelle d'urgenza. E' appena il caso di ricordare, poi, che taluni obblighi di monitoraggio e registrazione di dati, erano stati stabiliti dal decreto-legge n. 144 del 2005 (c.d. decreto Pisanu) per categorie di "gestori" diversi da coloro che offrono accesso a Internet con tecnologia wi-fi, e sono stati successivamente soppressi anche in ragione delle difficoltà e degli oneri legati alla loro applicazione (decreto-legge n. 225 del 2010).

Tuttavia, ciò che più preme a questa Autorità è sottolineare come le disposizioni in commento, nell'escludere che un trattamento di dati costituisca un trattamento di dati personali, rischiano di impattare sulla tutela dei diritti fondamentali e di confliggere con la definizione stessa di dato personale contenuta, oltre che nel Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), nella stessa direttiva europea sulla tutela della vita privata. Quest'ultima, infatti, contiene una definizione di dato personale molto ampia, che ricomprende "qualunque informazione concernente una persona fisica identificata o identificabile....direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità.." (art. 2, par. 1, lett. a), dir. 95/46/CE).

In tale quadro, l'Autorità, consapevole dell'importanza dell'esigenza di contemperare la liberalizzazione dell'accesso a Internet con la tutela della sicurezza pubblica e il contrasto della criminalità, ritiene che tali ultimi aspetti, con le connesse implicazioni per la protezione dei dati personali, potrebbero trovare un più meditato approfondimento in una sede diversa e più idonea di quella consentita dai ristretti tempi di approvazione di un provvedimento d'urgenza.

Ciò, peraltro, tenuto conto che la norma, ove se ne confermasse l'esigenza, potrebbe essere perfezionata chiarendo espressamente che per tali trattamenti non sono necessari per il gestore "adempimenti giuridici" quali l'acquisizione del consenso degli interessati (utilizzatori degli apparati) al trattamento dei loro dati personali o anche la notifica al Garante, mentre l'obbligo di rendere all'interessato l'informativa potrebbe essere assolto in forma sintetica ed agevolata, anche sulla base di un provvedimento del Garante.

2. Richiamo inoltre l'attenzione sull'articolo 17 del decreto-legge che apporta alcune modifiche alle disposizioni in materia di fascicolo sanitario elettronico (FSE), introdotte dal decreto-legge n. 179 del 2012.

L'articolo 12 del predetto decreto n. 179, nella sua formulazione originaria, prevedeva che –ferma restando la libera espressione del consenso dell'assistito ai fini dell'alimentazione del FSE- le Regioni e le Province autonome, il Ministero del Lavoro e delle politiche sociali e il Ministero della Salute potessero perseguire le finalità di studio e ricerca scientifica, nonché di programmazione sanitaria e monitoraggio loro assegnate "senza l'utilizzo dei dati identificativi degli assistiti e dei documenti clinici presenti nel FSE". Ciò, sul presupposto che per tali finalità, le quali non attengono evidentemente alla cura della persona, fosse sufficiente utilizzare informazioni non identificative dei pazienti, in applicazione dei principi di necessità, proporzionalità e indispensabilità nel trattamento dei dati personali, e senza che fossero in alcun modo presi in considerazione documenti clinici.

Con la modifica operata dal decreto in discussione (art. 17, comma 1, lett. b)) i predetti soggetti pubblici sarebbero, invece, autorizzati a utilizzare anche i "documenti clinici".

Il Garante esprime forti perplessità su tale ampliamento del novero delle informazioni oggetto di trattamento per finalità diverse da quelle di cura.

Per effetto della modifica normativa, infatti, verrebbe trattata dalle Regioni, dalle Province autonome e dai Ministeri citati un'enorme mole di dati personali sensibili delle persone (si pensi alle risultanze diagnostiche radiologiche, o a quelle di analisi cliniche, ecc.), che rappresenta un patrimonio informativo, pur prezioso per gli operatori sanitari nel momento in cui devono fare una diagnosi o prestare le cure mediche richieste, ma assolutamente sproporzionato per lo svolgimento di attività quali quelle di ricerca scientifica o programmazione sanitaria.

Per questi motivi, il Garante ritiene necessario che la norma in questione sia modificata in modo da assicurare ai predetti soggetti pubblici un utilizzo selettivo delle sole informazioni veramente utili e pertinenti per il perseguimento delle finalità loro assegnate. In tal senso, l'articolo 12 del decreto n. 179 potrebbe essere integrato con la previsione che il regolamento di attuazione di tale disciplina (art. 12, comma 7, d.l. n. 179/2012), al quale è demandato di definire, fra l'altro, i contenuti del FSE, individui espressamente i "documenti sanitari" utilizzabili per finalità amministrative.

3. Infine il Garante ritiene doveroso esprimere la propria contrarietà alla possibile riproposizione di disposizioni volte ad escludere dall'applicazione del Codice gli imprenditori individuali, per il momento non pubblicate, ma contenute in recenti bozze di disegno di legge del Governo in materia di semplificazioni.

Al riguardo, non possono che ribadirsi le perplessità già manifestate in altre circostanze e, da ultimo, in occasione della presentazione al Parlamento della relazione annuale del Garante.

Infatti, anche la più recente versione del disegno di legge che risulterebbe approvato nel Consiglio dei ministri del 19 giugno u.s., conterrebbe una modifica al Codice in materia di protezione dei dati personali in base alla quale "ai fini dell'applicazione del …codice l'imprenditore è considerato persona giuridica relativamente ai dati concernenti l'esercizio dell'attività d'impresa.".

Tale disposizione, finirebbe con il privare le persone fisiche – sia pure quando agiscano nell'esercizio della propria attività imprenditoriale – del diritto alla protezione dei dati personali, in contrasto, tra l'altro, con la direttiva 95/46/CE, con la conseguente necessità, anche da parte di questa Autorità, di sollevare la questione in sede comunitaria.

La norma rischia, peraltro, di sortire effetti paradossali e – in contrasto con le finalità presumibilmente perseguite – pregiudizievoli per la stessa attività d'impresa del piccolo imprenditore, stante la difficoltà di distinguere, nella vita concreta, il dato della persona fisica da quello riferito alla sua qualità di imprenditore individuale. Così, ad esempio, potrà capitare –come già avvenuto, in realtà- che a causa del mancato o ritardato pagamento di piccole rate per un acquisto anche minuto, il soggetto venga inserito in una delle tante centrali rischi e in conseguenza di ciò si veda negare il credito per l'attività di impresa, con il conseguente rischio di estromissione dal mercato. Fatto questo, ancora più grave nell'attuale fase di crisi economica del Paese. Mentre oggi tale soggetto può rivolgersi al Garante per far cancellare informazioni non corrette o non significative da tali banche dati, ove la norma venisse approvata, lo stesso sarebbe privato di tale tutela.

Questa novella potrebbe determinare ulteriori criticità anche, ad esempio, rispetto al trattamento dei dati giudiziari o comunque di quelle situazioni specifiche (di cui ragiona il parere 4/2007 del "Gruppo Articolo 29"), nelle quali i dati, pur formalmente inerenti imprese, attengano in realtà a persone fisiche.

Si pensi, ad esempio, alla condanna per reati (fallimentari, societari, etc.) commessi dall'imprenditore proprio in quanto tale, nell'esercizio, cioè, dell'attività d'impresa: essi potrebbero ritenersi esclusi dalla tutela rafforzata loro accordata dal Codice, con effetti - non solo di dubbia opportunità- ma anche di dubbia legittimità sotto il profilo del rispetto dell'ordinamento costituzionale e dell'Unione europea, essendo i dati in esame meritevoli di una protezione particolarmente pregnante.

Sotto altro profilo, il Garante esprime perplessità anche di ordine metodologico.

Ove le norme fossero effettivamente riproposte, si realizzerebbe una significativa modifica a parti determinanti della disciplina in materia di protezione dei dati personali, peraltro a breve distanza dalle novelle che hanno già ridotto, in misura rilevante, la categoria dei soggetti di diritto cui si applicano le garanzie del Codice.

Le continue modifiche agli istituti fondativi della disciplina della protezione dei dati – apportate, peraltro, anche con decreto-legge e al di fuori da un progetto organico di riforma - rischiano, perché poco approfondite, di ingenerare difficoltà applicative e dubbi intrepretativi idonei a vanificare le stesse, auspicate finalità di semplificazione.

Queste ultime, invece, potrebbero essere perseguite mediante altri mirati interventi di semplificazione, ovviamente nel rispetto dei vincoli comunitari, come quello relativo all'impianto sanzionatorio previsto dal Codice in materia di protezione dei dati personali, discusso informalmente con il Governo, che potrebbe anche essere inserito in un organico intervento di riforma della disciplina di settore, in relazione al quale l'Autorità assicura sin d'ora la più ampia collaborazione.

La disposizione modifica altresì l'articolo 121 del Codice in materia di protezione dei dati personali, precisando che le norme del Codice sui servizi di comunicazione elettronica (Titolo X) si applicano al trattamento dei dati delle "persone giuridiche quali contraenti o utenti di fornitura di servizi di comunicazione elettronica".

La disposizione normativa sembra volta a ridurre il contrasto della disciplina vigente con la direttiva 2002/58/CE, relativa al trattamento dei dati personali nel settore delle comunicazioni elettroniche,  determinato da una delle recenti novelle al Codice.

In particolare, il decreto-legge n. 201 del 2011, nell'escludere persone giuridiche, enti o associazioni dalla sfera dei soggetti di diritto ai fini della protezione dati ha mancato di coordinare pienamente l'intervento con la disciplina del trattamento dei dati di tali soggetti rispetto alla fornitura di servizi di comunicazione elettronica, e in particolare con la definizione di "abbonato" pure contenuta nel Codice (e poi sostituita con quella di "contraente"), che risulta tuttora applicabile tanto alle persone fisiche quanto a quelle giuridiche.

Si segnala, ad esempio, tra gli effetti più immediati di tale mancanza di coordinamento il venir meno per questi soggetti, quando agiscano nella qualità di "contraenti", delle forme di tutela dinanzi al Garante, in quanto l'articolo 141 del Codice, che le disciplina, si riferisce testualmente, a seguito della modifica del 2011, ai soli "interessati", dunque soltanto alle persone fisiche.

La proposta di modifica all'articolo 121 del Codice (che, peraltro, non si riferisce, inspiegabilmente, anche agli "enti e associazioni" i quali pure sono parificati, quanto a disciplina, alle persone giuridiche figurando ancora nella nozione di "contraente" di cui all'articolo 4, comma 2, lett. f) del Codice,) non risolve, comunque, in maniera esaustiva le disarmonie normative descritte.

L'Autorità, pertanto, ritiene preferibile -come peraltro già auspicato in più occasioni- modificare le stesse nozioni di "interessato" e di "dato personale" di cui all'articolo 4 del Codice, al fine di ricondurvi anche i soggetti diversi dalle persone fisiche che siano parti di un contratto di fornitura di servizi di comunicazione elettronica (i contraenti, appunto), in modo da assicurare a tali soggetti le forme di tutela previste dal Codice.

Tanto Le segnalo ai sensi dell'articolo 154, comma 1, lett. f) del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), grato, anche a nome del Collegio del Garante, per l'attenzione che vorrà riservare alle suesposte considerazioni, e confermandoLe sin d'ora la più ampia disponibilità dell'Autorità ad ogni collaborazione che dovesse essere ritenuta utile.

Antonello Soro