Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Mercato unico digitale e commercio elettronico - Audizione del Presidente del Garante privacy alla Camera dei Deputati, 16 marzo 2016

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4789144
Data:
16/03/16
Tipologia:
Audizione

Audizione del Presidente del Garante per la protezione dei dati personali, Antonello Soro, in tema di mercato unico digitale e commercio elettronico

presso le Commissioni riunite IX e X della Camera dei Deputati (16 marzo 2016)

(testo dell'intervento)

1. La protezione dei dati personali garanzia essenziale per la realizzazione di un mercato unico digitale

Le varie proposte all'esame delle Commissioni affrontano temi su cui l'Autorità, per diversi aspetti, è impegnata da tempo.

I servizi di mercato, che si vogliono stimolare, utilizzano sempre di più piattaforme mobili che offrono accesso a informazioni e contenuti in qualsiasi momento, in qualsiasi luogo e da qualsiasi dispositivo.

Nella dimensione globale di questi processi il quadro giuridico di riferimento non può dunque che essere almeno quello europeo.

In questo contesto si inseriscono le iniziative della Commissione europea che si è posta tra le fondamentali priorità la creazione di un mercato unico digitale, dal commercio elettronico ai sistemi cloud alla fornitura di servizi e contenuti digitali, eliminando le principali barriere legate al diritto contrattuale che ostacolano gli scambi transfrontalieri on-line.

Il pacchetto in esame rientra nell'ambito della recente Strategia per il mercato unico digitale presentata dalla Commissione europea il 6 maggio 2015 e della Comunicazione sul tema del commercio elettronico del 9 dicembre 2015.

L'obiettivo di tali iniziative è quello di creare un quadro armonizzato di regole che contribuisca ad uno sviluppo più rapido del mercato digitale a beneficio dei consumatori e delle imprese, creando nuove opportunità di sviluppo. 

La libera circolazione di servizi ed attività on-line si fonda inevitabilmente su uno scambio continuo di dati e poggia su infrastrutture, sistemi e tecnologie che sfruttano i dati stessi.

Non a caso, la riforma sulla protezione dei dati è considerata dalla Commissione europea un presupposto fondamentale per costruire un'economia aperta e rafforzare la fiducia nei servizi digitali garantendo, al contempo, il rispetto dei più elevati parametri di protezione in conformità alla Carta di Nizza ed al Trattato di Lisbona che hanno espressamente riconosciuto il diritto alla protezione dei dati personali quale diritto fondamentale dei cittadini europei.

Il nuovo pacchetto sulla protezione dei dati personali, recentemente approvato, riveste dunque un'importanza centrale per adeguare l'Europa all'era digitale, sviluppare servizi innovativi ed eliminare le barriere che ostacolo il flusso transfrontaliero di dati.

Il nuovo Regolamento (destinato a sostituire integralmente la Direttiva 95/46/CE), presumibilmente sarà pubblicato in Gazzetta ufficiale dell'Unione entro la prima metà del 2016.

Da quel momento gli Stati membri avranno a disposizione due anni di tempo per adeguare, ove necessario, i propri ordinamenti e garantire l'allineamento fra le disposizioni nazionali esistenti (ove mantenute) e le nuove norme.

Come il recepimento della Direttiva 95/46/CE ha rappresentato per l'Italia la condizione imprescindibile per aderire a Schengen, il nuovo Regolamento rappresenta oggi il presupposto essenziale per consentire la libera circolazione di beni e contenuti digitali.

E proprio sulla base di quella esperienza (per cui l'Italia pur avendo ratificato già dal 1993 l'Accordo Schengen completò l'iter solo nel 1996 con l'adozione della normativa sulla tutela dei dati quale impegno inderogabilmente previsto dalla stessa Convenzione) è più che mai opportuno che, durante la fase di transizione sino all'effettiva entrata in vigore del nuovo Regolamento sulla protezione dei dati, si evitino ingiustificati ritardi e si proceda ad una valutazione tempestiva delle nuove disposizioni per adeguare la normativa nazionale.

Per completare il quadro normativo di riferimento si richiama anche il processo di revisione della Direttiva 2002/58/CE, che la Commissione intende concludere una volta stabilite le norme generali sulla protezione dei dati, anche per assicurare coerenza tra i due testi.

Sul punto, l'obiettivo principale è quello di estenderne l'ambito di applicazione della direttiva e-privacy anche agli over the top, oltre che alle tradizionali società di telecomunicazioni.

Questo processo di revisione – come è stato per il nuovo pacchetto di protezione dei dati – vedrà impegnata la nostra Autorità.

Richiamata la cornice giuridica europea, appare evidente che nell'economia digitale, che ha dimensioni globali, lo sviluppo si intreccia inevitabilmente con problematiche strettamente inerenti la protezione dei dati.

Lo dimostra il nuovo accordo tra Stati uniti ed Europa la cui bozza è stata presentata dalla Commissione il 29 febbraio scorso, e che sarà sottoposta al parere del WP 29 (il Gruppo che riunisce le Autorità di protezione dei dati in Europa), destinato a sostituire il Safe Harbour dichiarato invalido dalla Corte di Giustizia il 6 ottobre u.s.

Si tratta di un accordo che dovrà garantire una più adeguata tutela dei dati trasferiti negli Stati Uniti, dove peraltro risiedono la maggior parte delle aziende che offrono  servizi digitali e dove vengono tendenzialmente conservate e trattate le informazioni di miliardi di consumatori.

2. Nello specifico delle proposte

Il raggiungimento degli obiettivi indicati nelle proposte della Commissione europea rappresenta una tappa fondamentale per assicurare, anche nel nostro Paese, un sistema realmente competitivo almeno nel contesto europeo (e questo nella consapevolezza che l'Italia risulta – da dati ufficiali di Bruxelles – agli ultimi posti delle classifiche in tema di sviluppo digitale).

In particolare, la proposta di direttiva COM(2015)634 sui contratti di fornitura di contenuto digitale punta ad abbattere alcune differenze tra gli Stati membri relativamente alle norme di diritto contrattuale.

Sono stabilite norme specifiche a tutela dei consumatori in caso di difformità del contenuto digitale con le previsioni contrattuali e sulle modalità di esercizio di tali diritti, compreso l'onere della prova ed il diritto di recesso.

Il contenuto digitale cui si fa riferimento copre una vasta gamma di prodotti come musica, video, applicazioni, film etc. che forniscono, inevitabilmente, informazioni dettagliate sugli utenti fruitori.

Come noto, per poter accedere a determinati contenuti digitali nella maggior parte dei casi viene chiesto all'utente di identificarsi oppure vengono impiegate tecniche di tracciamento che ricorrono all'indirizzo IP o ai cookie.

Si tratta comunque di  "identificatori" che il nuovo Regolamento sulla protezione dei dati riconduce espressamente nel suo ambito di applicazione (considerando 23).

La dimensione digitale è una nuova dimensione della vita.

In questa dimensione ogni operazione che noi compiamo nell'uso un qualsiasi dispositivo, dal tablet allo smartphone, è tracciata o tracciabile.

Tracciare – per finalità di marketing – le abitudini "digitali" degli utenti, attraverso profilazioni dettagliate riferite alle loro scelte, abitudini e preferenze, può rilevare informazioni anche estremamente delicate.

Sappiamo che il confine tra la persona fisica e la sua proiezione digitale diventa sempre più sottile e, per questa ragione, la vulnerabilità dei dati significa vulnerabilità della persona.

La condivisione on-line dei nostri dati ci espone dunque a nuovi pericoli.

Al nostro atteggiamento spesso poco attento, si contrappone la consapevolezza e l'interesse delle multinazionali che offrono i servizi e contenuti digitali, che raccolgono, elaborano e vendono i nostri dati, che possono rivelare anche le più sottili ed intime sfumature delle nostre personalità.

Ed è proprio nel mondo on-line dei siti di e-commerce, dei social network e dei motori di ricerca che si realizzano le tecniche più raffinate e ed invasive di profilazione dalle quali le aziende traggono enormi vantaggi di carattere economico e disegnano, a livello planetario, nuovi equilibri nella geografia dei poteri.

In questa prospettiva la protezione dei dati diventa presupposto ineludibile per garantire non solo la sicurezza in termini di affidabilità delle attività on-line e dei sistemi e delle infrastrutture sui quali si fondano, ma anche per impedire violazioni o accessi illegittimi ai dati stessi.

In tema di profilazione, il nuovo Regolamento ha rafforzato la tutela dell'utente, con particolare riferimento al diritto di opposizione ed ha ribadito la necessità – anche nel mondo on-line – di richiedere un consenso informato e libero.

Si tratta in realtà di un presupposto che può essere compromesso dalla previsione di cui all'art. 3 comma 1, attinente all'ambito di applicazione della direttiva sui contenuti digitali nella parte in cui prevede anche una controprestazione "non pecuniaria sotto forma di dati personali o qualsiasi altro dato".

Sarebbe preferibile una riformulazione che si limiti ad evidenziare la gratuità o meno del contenuto digitale fornito.

Il diritto alla protezione dei dati, del resto, è qualificato come diritto fondamentale dalla Carta di Nizza e dal Trattato di Lisbona e la sua mercificazione, in cambio di vantaggi, non è certamente condivisibile.

E non lo è ancor di più in ragione del nuovo Regolamento che, con riferimento ai requisiti del consenso dell'utente a trattare i propri dati personali, precisa (art. 7 paragrafo 4) che debba essere attentamente valutato il fatto che, con particolare riguardo rivolto ai servizi e alle offerte rivolte agli utenti, siano richiesti dati che in realtà non sono necessari.

Un tema delicato soprattutto se si considera che:

a) i rapporti di forza tra utente e fornitore del servizio  specie nel mondo digitale sono decisamente sproporzionati e asimmetrici;

b) il tema del consenso on-line per finalità di profilazione prestato dai minori è alquanto complesso per cui nel nuovo Regolamento si sono previste tutele rafforzate (art. 8);

c) sono previste cautele particolari con riferimento a specifiche categorie di dati (che il nuovo Regolamento ha peraltro esteso sino a ricomprendervi, oltre a quelli sulla salute, anche i dati biometrici, genetici etc.).

L'altra proposta (COM2015) 627 punta ad eliminare gli ostacoli alla portabilità in ambito europeo dei contenuti digitali  cui i consumatori hanno legalmente accesso o che hanno acquistato nel proprio paese di residenza.

La proposta si articola sostanzialmente su tre obiettivi:

• stabilire la localizzazione del servizio ai fini della portabilità (definendo il luogo della prestazione lo Stato membro di residenza dell'abbonato (art. 4);

• prevedere l'obbligo per il fornitore di servizio di offrire la portabilità transfrontaliera (art. 3);

• stabilire l'inapplicabilità di qualsiasi disposizione contrattuale in contrasto con tale obbligo.

Il tema della portabilità dei contenuti , che in generale dovrebbe escludere forme di monitoraggio in merito all'ubicazione degli utenti, è strettamente legato al diritto d'autore.

L'individuazione delle misure adeguate per assicurare tutela al diritto d'autore – che la Commissione europea intende armonizzare – è un nodo politico delicato e ampiamente dibattuto.

Si fa presente che, su questi temi, la nostra Autorità partecipa anche al tavolo di lavoro aperto presso il Dipartimento per le politiche europee della Presidenza del Consiglio dei ministri.

Il tema della portabilità richiama inevitabilmente quello relativo alle modalità con le quali ai fornitori dei servizi è concesso di effettuare le verifiche rispetto alla legittimità del servizio stesso.

L'art. 5 comma 3 della proposta consente ai titolari del diritto d'autore di chiedere che i fornitori dei servizi si avvalgano di strumenti efficaci per verificare che l'offerta di contenuti on-line sia prestata in modo conforme, a condizione che gli strumenti occorrenti siano ragionevoli e non vadano al di là di quanto è necessario.

Tra le misure tecniche utilizzate potrebbe figurare il campionamento degli indirizzi IP che identificano appunto in modo univoco un dispositivo.

Si tratta di attività che sono soggette alle norme in materia di protezione dei dati personali.

L'Autorità ha sempre ribadito la contrarietà alla comunicazione degli indirizzi IP a soggetti privati titolari dei diritti d'autore :diverso è ovviamente il caso in cui la richiesta provenga da autorità giudiziarie o di polizia, sulla base di specifiche disposizioni di legge.

Del resto, la direttiva e-privacy e il nostro Codice (art. 122) vietano ai privati di effettuare monitoraggi massivi, capillari e prolungati nei riguardi di un numero elevato di soggetti e, soprattutto, che i dati di traffico telematico possano essere messi a disposizione per controversie civili relative ai diritti di proprietà intellettuale.

Questo quadro di garanzie non viene messo in discussione nemmeno dalla riforma della protezione dati.

Non solo. Per assicurare maggiore coerenza, sarebbe opportuno nell'ambito di questa proposta richiamare anche le disposizioni della Direttiva 2002/21/CE – che fa comunque parte del cosiddetto "pacchetto telecomunicazioni" e che è stata modificata dalla Direttiva 2009/140/CE – che, in generale su questi temi, richiedono adeguate garanzie procedurali nel rispetto del diritto alla privacy, inclusi un'efficace tutela giurisdizionale e un giusto processo.

Per concludere, nel condividere pienamente l'obiettivo di sostenere lo sviluppo dell'economia digitale e le proposte oggetto di esame, è necessario che le stesse vengano allineate, al di là dei richiami formali, al quadro generale in tema di protezione dei dati.