• Home
  • News
  • Privacy
  • Più sicurezza nelle comunicazioni elettroniche? Cambia ancora il Codice Privacy!

Più sicurezza nelle comunicazioni elettroniche? Cambia ancora il Codice Privacy!

  • Lunedì, 02 Luglio 2012
Più sicurezza nelle comunicazioni elettroniche? Cambia ancora il Codice Privacy!
di avv. Graziano Garrisi (vicecoordinatore ABIRT) e dott.ssa Debora Montagna - Digital & Law Department

di avv. Graziano Garrisi (vicecoordinatore ABIRT) e dott.ssa Debora Montagna - Digital & Law Department

Incredibile ma vero: il Codice Privacy cambia ancora! Sembra proprio non voler finire questo processo di cambiamento che la normativa in materia di privacy sta subendo nel corso degli ultimi anni. Anzi, non abbiamo ancora fatto in tempo a smaltire i cambiamenti organizzativi dell'ultima manovra del Governo Monti che già il legislatore comunitario ci impone un ulteriore adeguamento.
Infatti, con i decreti legislativi del 28 maggio 2012, n. 69 e n. 70 - in recepimento delle direttive comunitarie 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori - sono state apportate delle rilevanti modifiche, rispettivamente, al Codice in materia di protezione dei dati personali e al Codice delle comunicazioni elettroniche.
Il recente decreto legislativo 28 maggio 2012 n. 70, infatti, affrontando argomenti molto specifici e tecnici che comprendono le reti, le radiofrequenze, gli elenchi degli abbonati etc., si occupa altresì della sicurezza e dell'integrità delle reti di comunicazione elettronica accessibili al pubblico. In particolare, poiché si tratta di precetti finalizzati alla prevenzione e limitazione delle conseguenze negative di incidenti che pregiudicano la sicurezza e che si ripercuotono sugli utenti e le reti interconnesse, è chiaro che il decreto ha inciso in maniera diretta anche sull'applicazione della normativa in materia di corretto trattamento dei dati di cui al d.lgs. 196/2003.
Soffermandoci, invece, ad analizzare la sola portata dei nuovi obblighi introdotti dal d.lgs. 69/2012, i cui effetti si spiegano anche nel d.lgs. 196/2003 (Codice Privacy), in capo ai fornitori di servizi di comunicazione elettronica accessibile al pubblico, si evince la costante sensibilità del legislatore, comunitario e nazionale, nei confronti della tutela dei dati personali nel mondo della comunicazione elettronica e la consapevolezza, così come evidenziata anche dal considerando 61 della direttiva 2009/136/CE, che una violazione di dati personali può, se non trattata in modo adeguato e tempestivo, provocare un grave danno economico e sociale.
Già nella legge delega, che ha portato all'emanazione di tali decreti legislativi, viene stabilito che, nel settore del trattamento dei dati personali deve essere assicurato il rispetto dei principi e dei criteri direttivi specifici destinati al rafforzamento delle prescrizioni in tema di sicurezza e riservatezza delle comunicazioni, nonché di protezione dei dati personali e delle informazioni già archiviate nell'apparecchiatura terminale, fornendo all'utente indicazioni chiare e comprensibili circa le modalità di espressione del proprio consenso, in particolare mediante le opzioni dei programmi per la navigazione nella rete Internet o altre applicazioni. Era previsto anche il conseguente riassetto del sistema sanzionatorio del Codice in materia di protezione dei dati personali (d.lgs. 196/2003), pure mediante depenalizzazione.
Tra le modifiche introdotte da tale decreto al Codice Privacy1, è innanzitutto da considerare la nuova definizione di violazione di dati personali2 identificata come la "violazione della sicurezza  che comporta  anche  accidentalmente  la  distruzione,  la  perdita,  la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico".
Sulla base di questa definizione sono da considerare le modifiche apportate al titolo V rubricato "Sicurezza dei dati e dei sistemi" che hanno ristrutturato l'art. 32 e introdotto l'art. 32 bis, i quali prevedono, rispettivamente, le misure di sicurezza da adottare per prevenire le anzidette violazioni e gli adempimenti da porre in essere in seguito al verificarsi di una violazione di dati personali.
L'articolo 32 del Codice Privacy, in particolare, che già prevedeva l'adozione da parte dei fornitori di misure tecniche e organizzative adeguate per salvaguardare la sicurezza dei servizi di comunicazione elettronica accessibile al pubblico, in seguito all'entrata in vigore del d.lgs. 68/2012 prevede altresì l'adozione di misure relative agli adempimenti di cui al successivo articolo 32 bis.
Alla luce di tale modifica, pertanto, il fornitore può, ora, adottare le misure di sicurezza anche attraverso altri soggetti a cui sia affidata l'erogazione del servizio di comunicazione elettronica accessibile al pubblico.
Ancora ai sensi dell'art. 32, i fornitori devono garantire che l'accessibilità dei dati sia permessa solo al personale autorizzato per fini previsti e devono garantire la protezione dei dati relativi al traffico, all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, dalla perdita o alterazione anche accidentale e dalla archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti assicurando, inoltre, l'attuazione di una politica di sicurezza.
È importante considerare che, se in precedenza era previsto che, nel caso di sussistenza di un particolare rischio di violazione della sicurezza della rete il fornitore di un servizio di comunicazione elettronica accessibile al pubblico avesse l'obbligo di informare il Garante, l'Autorità per le garanzie nelle comunicazioni, gli abbonati e, ove possibile, gli utenti, ora l'introduzione dell'articolo 32 bis, che individua gli "Adempimenti conseguenti ad una violazione di dati personali", potrebbe risultare uno strumento molto utile a bloccare, o quanto meno a ridurre, l'impatto negativo di una violazione dei dati personali. Ciò perché, come vedremo, il legislatore pone tutta una serie di obblighi di comunicazione in capo al fornitore tali da mettere in moto un meccanismo in cui tutte le parti interessate (fornitore, contraente, utente e Garante Privacy) cooperino al fine di limitare eventuali danni.
La funzionalità di questo meccanismo dipenderà, ovviamente, dalla tempestività della comunicazione e dall'efficienza delle misure di sicurezza predisposte dal fornitore e utilizzate dallo stesso nell'immediatezza della violazione.
Analizzando le previsioni inserite nel 32 bis in caso di violazione di dati personali nei servizi di comunicazione elettronica accessibili al pubblico viene in rilievo, infatti, la necessaria "preparazione" del fornitore ad affrontare tali circostanze. Dunque, il fornitore:
comunicherà, senza ritardo, all'Autorità Garante Privacy le violazioni dei dati personali;
- se la violazione rischia di arrecare pregiudizio anche ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunicherà anche agli stessi e senza ritardo l'avvenuta violazione. È previsto che tale comunicazione potrà essere omessa nel solo caso in cui il fornitore dimostri al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione.
Se in seguito a eventuali violazioni sono presumibili ripercussioni negative, e il fornitore non vi abbia già provveduto, il Garante potrà comunque intervenire obbligando il fornitore a comunicare l'avvenuta violazione al contraente o ad altra persona.
Il legislatore ha previsto anche il contenuto minimo che le suddette comunicazioni agli interessati dovranno contenere:
1. descrizione della natura della violazione;
2. punti di contatto utili ad ottenere ulteriori informazioni;
3. elenco delle misure che il fornitore consiglia di adottare per attenuare i possibili effetti pregiudizievoli della violazione.
La comunicazione al Garante dovrà contenere, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.
Ciò detto e data l'estrema rilevanza e delicatezza del tema, avrà fondamentale importanza l'eventuale pubblicazione di un provvedimento o linee guida da parte del Garante, nel caso in cui questi deciderà di fare propria la facoltà prevista dal comma 6 dell'articolo 32 bis del Codice, ovvero quella di emanare orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, il formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea.
Il decreto ha inoltre stabilito, per consentire al Garante di verificare il rispetto delle disposizioni di legge, che i fornitori dovranno tenere un aggiornato inventario delle violazioni di dati personali all'interno del quale indicheranno le conseguenze derivate e i provvedimenti adottati per porvi rimedio.
Posto che si tratta di nuove misure di sicurezza e organizzative che richiederanno uno sforzo non di poco conto all'interno dei soggetti direttamente coinvolti, è necessario che i fornitori di servizi si adeguino prontamente alle previsioni suddette sia per dare maggiori garanzie agli utilizzatori sia per evitare le onerose sanzioni previste in caso di violazione dall'art. 162 ter del Codice Privacy, anch'esso di nuova introduzione3.
Da quanto emerge da una lettura dei nuovi articoli sanzionatori, infatti, l'omessa comunicazione ai soggetti interessati e al Garante, così come la mancata predisposizione dell'inventario delle violazioni, potrebbe costare molto caro a tutti i fornitori di servizi di comunicazione elettronica accessibili al pubblico. E se negli ultimi due casi la singola violazione può implicare una sanzione amministrativa dai 25.000 ai 150.000 euro per l'omessa comunicazione al Garante e dai 25.000 ai 120.000 euro nell'altro caso, l'omessa comunicazione ai contraenti o alle altre persone interessate, seppure nei limiti del 5% del volume d'affari e con ulteriori limiti nei casi di minore gravità, potrebbe costare da un minimo di 150 euro fino a un massimo di 1.000 euro per ogni singola comunicazione omessa.
La normativa prevede inoltre che, nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo. Dato ciò, le medesime sanzioni previste per i fornitori si applicheranno anche nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi qualora tali soggetti non abbiano comunicato tempestivamente le informazioni necessarie in modo da permettere al fornitore di adempiere agli obblighi di legge.

Oggetto di importanti modifiche, inoltre, anche gli artt. 121, 122, 123, 130, 164 bis e 168 del Codice Privacy. È stato infatti ampliato l'ambito del trattamento dei servizi interessati, comprendendo non solo la fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche, ma anche quelli che supportano i dispositivi di raccolta dei dati e di identificazione.
In particolare, la nuova formulazione dell'art. 122, totalmente riformulata, prevede che "L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente", introducendo il principio dell'importanza dell'acquisizione del consenso del contraente/utente e delle modalità di archiviazione e accesso alle informazioni.
Al di fuori di questa casistica non è, in ogni caso, consentito l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente stesso (comma 2-bis).
Sulla problematica relativa all'acquisizione del consenso, invece, al secondo comma dell'art. 122 viene stabilito che "Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente", lasciando spazio così a una eventuale acquisizione informatica o telematica del consenso del contraente o dell'utente (persona fisica) interessati al trattamento.
Gli articoli da 123 a 131, invece, si segnalano per la generale modifica della parola "abbonato" in quella di "contraente", intendendosi come tale "qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate".
Viene estesa, pertanto, anche alle persone giuridiche, enti o associazioni la possibilità di esercitare alcuni diritti e, in particolare, quelli previsti dall'art. 130 (Comunicazioni indesiderate) che vietano le campagne di direct marketing senza un esplicito consenso, in base al quale "Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente".
Si sottolinea, inoltre, come nel caso di specie sia stato effettuato anche un esplicito richiamo alla normativa italiana in materia di commercio elettronico (d.lgs. 70/2003), nell'evidente tentativo di un raccordo tra le due normative nella delicata materia del marketing e comunicazioni commerciali, tant'è che nel successivo comma 5 dell'art. 130 viene ribadito che "È vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003".
Concludiamo con un breve cenno anche alle nuove sanzioni. Per rendere effettivo il rispetto di tale obbligo in capo ai contraenti e rafforzare il potere coercitivo delle disposizioni introdotte in seguito alle modifiche indicate, infatti, oltre all'art. 162-ter già esaminato, sono state introdotte alcune modifiche anche agli artt. 164-bis e 168 in tema di "Casi di minore gravità e ipotesi aggravate" e "Falsità nelle dichiarazioni e notificazioni al Garante"; in quest'ultimo caso, in particolare, vengono punite anche le dichiarazioni o attestazioni di notizie o circostanze false ovvero la produzione di atti o documenti falsi nelle comunicazioni previste dall'art. 32-bis.


 1 Cambiano, tra l'altro, le definizioni di "chiamata", "reti di comunicazione elettronica", "rete pubblica di comunicazioni", "dati relativi all'ubicazione", contenute nell'articolo 4 del Codice Privacy. Relativamente alla vecchia definizione di "abbonato", invece, tale termine scompare in favore della nuova definizione di "contraente" (qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate). 
2  È curioso, se non pericoloso, che il legislatore abbia dato una definizione così specifica e tecnica alle parole "violazione di dati personali", perché restringe di molto l'ambito di applicazione a discapito di altre attività che potrebbero comportare una violazione simile sui dati personali degli interessati.
3 L'art. 162-ter, rubricato "Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico" prevede le seguenti sanzioni in relazione al mancato adempimento delle prescrizioni di cui all'art. 32 bis:
1) La violazione delle disposizioni di cui all'articolo 32-bis, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro.
2) La violazione delle disposizioni di cui all'articolo 32-bis, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo articolo 32-bis, comma 2. Non si applica l'articolo 8 della legge 24 novembre 1981, n. 689.
3) La sanzione amministrativa di cui al comma 2 non può essere applicata in misura superiore al 5 per cento del volume d'affari realizzato dal fornitore di servizi di comunicazione elettronica accessibili al pubblico nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa, fermo restando quanto previsto dall'articolo 164-bis, comma 4.
4) La violazione delle disposizioni di cui all'articolo 32-bis, comma 7, è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.
5) Le medesime sanzioni di cui al presente articolo si applicano nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato senza indebito ritardo, al fornitore, ai sensi dell'articolo 32-bis, comma 8, le informazioni necessarie ai fini degli adempimenti di cui all'articolo 32-bis.


D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma