Cookies e dintorni: alcune note sul D.Lgs 69/12, recepimento italiano della direttiva europea in materia di privacy nel settore dei servizi di comunicazioni elettroniche accessibili al pubblico

Con i decreti legislativi n. 69¹ e n. 70² pubblicati in G.U. n. 126 del 31 maggio 2012 ed entrambi in vigore dal 1° giugno, l’Italia ha infine recepito le direttive europee 2009/136/CE³ e 2009/140/CE⁴ in materia di telecomunicazioni, introdotte dall’UE al fine di aumentare la competitività del settore e di offrire migliori servizi alla clientela. Le nuove norme sanciscono, tra l’altro, il diritto per i cittadini, di passare a un altro operatore in un solo giorno senza dover cambiare numero di telefono, di avere informazioni più chiare in merito ai servizi offerti e di ricevere una migliore protezione dei dati personali online.

E’ stato così evitato, sul fil di lana, il definitivo procedimento di infrazione previsto nei confronti di quegli Stati membri che non hanno attuato entro i termini previsti i recepimenti di queste normative europee (era il 25 maggio 2011). Attualmente sono 5 gli Stati membri (Belgio, Paesi Bassi, Polonia, Portogallo e Slovenia) per i quali è stato stabilito il deferimento alla Corte di giustizia dell’UE poiché non hanno tutt’ora predisposto il recepimento delle norme in oggetto.

Il D.Lgs 70/12 modifica il D.Lgs 259/2003 – Codice delle comunicazioni elettroniche mentre il D.Lgs 69/12 interviene sul D.Lgs 196/03 – Codice in materia di protezione dei dati personali (Codice Privacy), ed a quest’ultimo si riferiscono le note ed i commenti di questa breve nota.

Sono molte e tutte considerevoli le variazioni apportate al Codice Privacy, espressamente per gli aspetti che riguardano la normativa in tema di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva 2009/136/CE che modifica la direttiva 2002/58/CE recepita nel Codice  in particolar modo con l’attuale titolo X “Comunicazioni elettroniche”, artt.121-133, oltre l’art. 4 per quanto concerne le definizioni dei termini).

Gli emendamenti introdotti hanno notevoli ricadute in termini di adempimenti, responsabilità e specifiche sanzioni che interesseranno i fornitori di servizi di comunicazione elettronica accessibili al pubblico [operatori nel seguito] ed anche, espressamente citati per la prima volta con estrema chiarezza nel Codice Privacy, gli altri soggetti a cui essi affidano l’erogazione dei predetti servizi. Si amplia quindi e non poco la platea dei destinatari delle nuove prescrizioni, tenendo presente che la realizzazione e l’erogazione di un servizio richiede pressoché necessariamente il coinvolgimento di diverse società ciascuna per il proprio ambito di specializzazione oltre a quelle che effettivamente integrano e commercializzano i servizi verso gli utenti finali (a puro titolo di esempio: servizi di esercizio e manutenzione tecnica, erogazione di particolari servizi a valore aggiunto quali m-payment, servizi basati sulla geo-localizzazione in tempo reale dei terminali degli utenti,…). Non ultime poi in termini di ricadute sono da considerare le modifiche che definitivamente assoggettano l’uso dei cookie⁵ al preventivo consenso libero ed informato espresso dagli utenti e contraenti (questo il nuovo termine ora da usare in luogo del precedente “abbonati”) insieme a quelle che in coordinamento intervengono sulla disciplina delle azioni di marketing/invio di informazioni commerciali attuate mediante mezzi automatizzati senza l’intervento dell’operatore (fax, sms, email,..).

Nel complesso le modifiche apportate al Codice Privacy riguardano:

• i nuovi obblighi in tema di sicurezza dei dati personali e

• il consenso preventivo in relazione ai cookie ed in generale all’uso dei dati personali dei contraenti/utenti, fatte salve le esigenze tecniche e quelle derivanti strettamente da adempimenti di oneri contrattuali.

Sicurezza dei dati

L’introduzione della nuova figura di reato “violazione di dati personali” comporta nuovi adempimenti in termini di misure di sicurezza tecniche/organizzative/procedurali allo scopo di minimizzarne il rischio e che assicurino l’attuazione di una politica per la sicurezza (modifiche all’attuale articolo 32) nonché in termini di comunicazioni obbligatorie verso l’Autorità garante per la protezione dei dati personali (Garante privacy) ed in alcuni casi verso i singoli utenti/contraenti, qualora si concretizzino eventi di violazione dei loro dati personali (nuovo articolo 32-bis).

Per quanto riguarda le misure di sicurezza vale la pena evidenziare che la nuova prescrizione pone l’accento sull’esigenza di minimizzare i rischi anche accidentali, di distruzione-perdita-alterazione dei dati, ampliando così il campo di contromisure sia tecniche sia organizzative/procedurali (e dunque interessando le istruzioni e la formazione per gli incaricati di trattamento e…loro responsabilità) richieste per soddisfare la stessa.

In ottica di servizi in outsourcing queste modifiche all’assetto richiesto per le misure di sicurezza e relative responsabilità potranno comportare la revisione/aggiornamento dei corrispondenti privacy agreement in essere (tipicamente la designazione di responsabile ai sensi dell’art 29 del Codice Privacy e relative istruzioni effettuate dagli operatori ai loro fornitori coinvolti nell’erogazione dei servizi).

I nuovi adempimenti di comunicazione verso il Garante privacy e, quando “la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona”, direttamente verso i contraenti/utenti, richiederanno non banali impegni da parte degli operatori (ed i loro fornitori) che operano tramite realtà organizzative variegate, complesse, distribuite e dinamiche in funzione dell’evoluzione del mercato, della tecnologia applicabile e del loro business. In particolare le misure per assicurare “l’indebito ritardo” nelle comunicazioni in oggetto richiederanno un’attenzione specifica così come la costituzione ed aggiornamento dell’Inventario delle Violazioni avvenute, nuovo adempimento che richiederà un preciso coordinamento tra tutti i soggetti coinvolti nel servizio. E’ inoltre esplicitamente previsto dalla nuova norma che il Garante privacy con propri provvedimenti possa determinare con maggior dettaglio operativo i contorni e le prassi documentative richieste dai nuovi adempimenti di comunicazione in caso di violazioni dei dati personali (ad esempio per fornire il criterio in base al quale si rende necessaria la comunicazione ai contraenti/utenti, le informazioni da riportare nella descrizione della violazione,…).

Occorre poi inoltre tenere presenti anche gli adempimenti richiesti con il nuovo articolo 132-bis per cui gli operatori devono istituire procedure interne per corrispondere alle richieste effettuate in conformità alle disposizioni che prevedono forme di accesso a dati personali degli utenti e fornire al Garante privacy, quando richiesto, informazioni sulle procedure e dati relativi al loro utilizzo (numero di richieste ricevute, motivi legali addotti e risposte fornite).

Inoltre la modifica apportata all’articolo 168 prevede ora come reato anche le false dichiarazioni o attestazioni di notizie o circostanze (o produzione di atti o documenti falsi) nella comunicazione al Garante privacy in relazione ad avvenuta violazione di dati personali: gli illeciti sono puniti con la reclusione da sei mesi a tre anni. 

La (definitiva?) affermazione dell’approccio Opt In per l’acquisizione e gestione del consenso

L’approccio al consenso preventivo libero informato e, non banale operativamente: documentato, trova definitiva consacrazione da parte del D.Lgs 69/12 in ambito generale per il trattamento dei dati di traffico a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto (modifica all’articolo 123), per l’installazione dei cookie (articoli 121 e 122) e per l’invio con mezzi automatizzati (senza l’intervento di un operatore) di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (modifiche all’articolo 130) anche in ottica di servizi per la società dell’informazione, ove applicabile (sono stati introdotti riferimenti a norme presenti nel D.Lgs 70/03 di recepimento della direttiva europea 2000/31/CE, nota come direttiva e-commerce).

Gli aspetti che riguardano in particolare la questione del consenso preventivo per l’installazione dei cookie sono destinati a rimanere per lungo tempo sotto i riflettori data la miriade di implicazioni come fattori abilitanti o meno alle attività commerciali condotte via internet e legate agli aspetti di On Line Behaviour, come ad esempio nel caso della pubblicità (OBA On line Behavioural Advertising).

Le problematiche di acquisizione e gestione del consenso per le attività che comportano monitoraggio on line degli utenti danno luogo ad inevitabili impatti sugli aspetti più intimamente legati al rispetto della privacy dei singoli e ci si attende un dibattito non semplice e non destinato a trovare in tempo breve il dovuto compromesso tra interessi assai contrastanti tra loro. In questo senso si legge anche, nell’articolo 122 aggiornato, il coinvolgimento delle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, per le decisioni che il Garante privacy sarà tenuto a prendere ai fini della determinazione delle modalità semplificate per l’informativa da rendere agli interessati, ai sensi dell’art. 13 del Codice.

E’ appena il caso di sottolineare come la problematica cookie e la questione dell’approccio al consenso “Opt In versus Opt Out” tocchi interessi e comporti partite che non possono di certo essere condotte solo a livello nazionale od anche a livello di Unione Europea:

• lo scorso Febbraio lo stesso presidente degli Stati Uniti B. Obama ha firmato un importante report per il futuro degli aspetti privacy nelle azioni commerciali condotte on line⁶

• a Marzo la Federal Trade Commission statunitense ha emesso il report “Protecting Consumer Privacy in an Era of Rapid Change: Recommendations For Businesses and Policymakers“⁷ con il quale si delineano apposite privacy best practices che le aziende americane sono invitate a seguire

• grazie alla attiva partecipazione dei maggiori operatori internazionali coinvolti nei business on line, è in fase avanzata la definizione di standard e meccanismi di Do Not Track realizzati a livello di strumento di navigazione in internet (vedasi i recentissimi lavori sul tema condotti dal W3C, World Wide Web Consortium), con il plauso espresso pubblicamente da Neelie Kroes- Vice Presidente della Commissione Europea, e con l’attenzione mostrata per essi dal WP 29 in occasione dello scambio di “opinioni” a proposito dell’approccio per la On Line Behavioural Advertising predisposto dalle maggiori organizzazioni mondiali rappresentative del settore (EASA, IAB)⁸

L’ampiezza e complessità delle variazioni normative apportate dal D.Lgs 69/12 sono dunque notevoli e non è certo da sottovalutare l’impegno che dovrà essere profuso dalle aziende destinatarie delle prescrizioni per poter conseguire un robusto livello di conformità. Tanto per dare un esempio: nel Regno Unito ove la direttiva 2009/136/EC è stata recepita entro il 25 maggio 2011, l’ICO (l’autorità garante privacy inglese) ha previsto un cosiddetto grace period di un anno, nel corso del quale non sono state avviate attività ispettive/sanzionatorie ed alle aziende interessate è stato dato il tempo di intraprendere le necessarie azioni per attivare le nuove misure richieste in particolare per quanto riguarda il preventivo consenso per l’installazione dei cookie.