Francesco Pizzetti

  • Francesco Pizzetti, professore Ordinario di diritto costituzionale presso la facoltà di Giurisprudenza dell'Università di Torino.
  • Autore di un centinaio di saggi e articoli scientifici in materia di diritto costituzionale, italiano e comparato, con particolare attenzione ai temi delle riforme istituzionali, dei governi regionali e locali e dei processi di riforma dell'Unione europea.
    • Pro-Rettore dell'Università di Torino (1984-1987),
    • consigliere costituzionale del Presidente del Consiglio Giovanni Goria (1987),
    • vice-Sindaco di Torino (1990-1993),
    • consigliere costituzionale del Presidente del Consiglio Romano Prodi (1996-1998),
    • segretario della Conferenza Stato-città e autonomie locali (1996-1998),
    • consigliere giuridico del Ministro della Funzione Pubblica Franco Bassanini (1996-2001),
    • direttore della Scuola Superiore della Pubblica amministrazione (1998-2001),
    • membro del Consiglio di Presidenza della Giustizia Amministrativa (2000-2004),
    • presidente della Commissione consultiva per le intese con le confessioni religiose, istituita presso la Presidenza del Consiglio dei Ministri (dal 1998),
  • Presidente del Garante per la protezione dei dati personali (dal 2005).

Sicurezza e privacy nelle comunicazioni elettroniche

SICUREZZA E PRIVACY: UN BINOMIO POSSIBILE

Sicurezza e Privacy possono costituire due aspetti apparentemente antitetici con cui le società occidentali sono costrette a rapportarsi quotidianamente al fine di stabilire volta per volta quale dei due debba ricevere una minore o maggiore tutela.

La disciplina sulla protezione dei dati personali, in proposito, rappresenta un efficace strumento normativo per attuare un bilanciamento costituzionale tra le due esigenze, regolando attraverso l'enucleazione di taluni principi questo potenziale contrasto. In realtà, a fronte della più recente giurisprudenza del Garante, deve evidenziarsi che la sicurezza, abbinata all'uso delle tecnologie, che rappresentano il più moderno terreno su cui saggiare il livello di tutela della riservatezza, ben si raccorda con la tematica della protezione dei dati, purché ciò avvenga nel rispetto delle regole fissate dall'Autorità di garanzia.

Un'idonea tutela dei diritti dei singoli non pregiudica l'adozione di misure efficaci per garantire la sicurezza dei cittadini e l'accertamento degli illeciti. In generale la rilevazione dei dati a fini di sicurezza (in senso lato) è possibile solo se fondata su uno dei presupposti di liceità che il Codice in materia di protezione dei dati personali [1] (di seguito "Codice") prevede espressamente, e in modo differenziato, per i soggetti pubblici da un lato e per i soggetti privati e gli enti pubblici economici dall'altro.

Gli scopi perseguiti dalla raccolta di informazioni devono essere determinati, espliciti e legittimi. Possono essere perseguite solo finalità di pertinenza del titolare del trattamento, finalità determinate e rese conoscibili. Nel valutare la necessità di utilizzare uno strumento di rilevazione in relazione al grado di rischio presente in concreto, deve evidenziarsi che tali sistemi possono essere attivati solo quando altre misure siano state ponderatamente valutate come insufficienti o inattuabili. Se le stesse sono finalizzate alla protezione di beni, devono risultare parimenti inefficaci altri accorgimenti quali controlli da parte di addetti, sistemi di alert, misure di protezione degli accessi, abilitazioni agli accessi.

Non va, pertanto, adottata la scelta semplicemente meno costosa, o meno complicata, o di più rapida attuazione, che potrebbe non tener conto dell'impatto sui diritti degli altri cittadini o di chi abbia diversi legittimi interessi. Poiché l'adozione di sistemi automatizzati di rilevazione comporta l'introduzione di un vincolo per il cittadino, il sistema informativo e il relativo programma informatico vanno conformati già in origine in modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi. Il software va configurato anche in modo da cancellare periodicamente e automaticamente i dati eventualmente registrati qualora questi non risultassero più funzionali al perseguimento delle lecite finalità del trattamento.

Il binomio Privacy e sicurezza acquista una valenza ulteriore se si considera che l'integrità dei dati relativi all'utente è garantita dall'adozione delle misure minime previste dal Codice. Se, infatti, l'implementazione di sistemi di sicurezza, ove implichi una rilevazione di informazioni dell'interessato, rappresenta un trattamento di dati personali, peraltro non soggetto al consenso di quest'ultimo in quanto misura necessaria per adempiere ad obblighi di legge ai sensi dell'art. 24 del Codice, è pur vero che l'assenza di misure di sicurezza idonee a garantire i diritti dell'interessato è causa di illiceità del trattamento e di inutilizzabilità dei dati medesimi.

Negli ultimi anni, il Garante ha dettato ai fornitori di servizi di comunicazione numerose prescrizioni in materia di sicurezza, sia in riferimento all'attività da essi svolta a supporto delle indagini delle autorità giudiziarie, sia per quanto concerne l'ordinaria conservazione sicura dei dati relativi alle comunicazioni degli interessati.

MISURE DI SICUREZZA NELL'AMBITO DELLE INTERCETTAZIONI

Il tema del trattamento dei dati connessi alle intercettazioni effettuato da fornitori di servizi telefonici riveste particolare importanza, sia in riferimento alla garanzia della sfera personale degli indagati (e delle altre persone estranee alle indagini, ma coinvolte nelle comunicazioni e conversazioni), sia per quanto concerne la tutela dell'interesse pubblico alla segretezza delle indagini.

Pur non dovendo venire a conoscenza dei "contenuti", i fornitori raccolgono, selezionano ed elaborano una notevole quantità di dati personali riferibili agli indagati e ai terzi con i quali questi ultimi comunicano. Si tratta di dati personali riservati e delicati che attengono, in particolare, all'identità dei soggetti sottoposti a intercettazione, all'arco temporale di svolgimento dell'intercettazione e ai dati di traffico telefonico o telematico inerenti alle linee intercettate (data, ora, numero chiamato e durata della comunicazione o conversazione).

A seconda dei casi, tenendo conto delle specifiche richieste dell'autorità giudiziaria, i medesimi dati sono integrati da informazioni tecniche aggiuntive relative ai dettagli delle chiamate entranti, ai tentativi di chiamata in entrata o in uscita e ai dati di localizzazione geografica dell'utenza intercettata.

Le intercettazioni telematiche sono quantitativamente meno rilevanti rispetto a quelle telefoniche e riguardano in prevalenza sia il traffico Ip sviluppato su linee telefoniche o collegamenti a larga banda, sia comunicazioni tramite posta elettronica. Queste ultime vengono realizzate predisponendo un inoltro automatico della corrispondenza ricevuta e spedita dall'intercettato verso un'utenza di posta elettronica messa a disposizione dal fornitore.

Nel 2006 il Garante ha prescritto ai principali fornitori la necessità di garantire che gli organi aziendali cui compete lo svolgimento di servizi per conto dell'autorità giudiziaria adottino un modello organizzativo in grado di limitare al minimo la conoscibilità delle informazioni relative alle attività svolte per esigenze di giustizia, con una rigida partizione della visibilità dei dati su base organizzativa, funzionale e di area geografica di competenza.

Il personale che a qualsiasi titolo tratti questi dati deve essere designato in termini selettivi quale incaricato del trattamento; particolare rigore deve essere assicurato nella gestione e nel mantenimento della qualità delle credenziali di autenticazione per l'accesso informatico ai dati trattati, conformando le procedure di gestione delle credenziali e i sistemi di autorizzazione a principi rigidi di coerenza delle abilitazioni nei sistemi informativi con i ruoli e le funzioni assegnate agli incaricati designati.

Deve essere altresì realizzata, anche attraverso un'opportuna configurazione dei sistemi informatici utilizzati, una separazione marcata tra i dati di carattere amministrativo-contabile e i dati documentali prodotti nel corso delle operazioni svolte su richiesta dell'autorità giudiziaria, inibendo la possibilità per un operatore amministrativo-contabile di accedere ai dati documentali prodotti.

I fornitori devono provvedere affinché l'interscambio di informazioni con l'autorità giudiziaria avvenga evitando il ricorso a canali non affidabili, o affidabili solo parzialmente, sia dal punto di vista delle prestazioni, sia da quello della sicurezza, adottando a tal fine sistemi di comunicazione basati su aggiornati strumenti telematici sviluppati con protocolli di rete sicuri.

Il Garante ha poi ritenuto necessario che i fornitori sviluppino o integrino strumenti informatici idonei ad assicurare il controllo delle attività svolte da ciascun incaricato sui singoli elementi di informazione presenti nei data-base utilizzati.

Tutti i dati personali acquisiti o formati per scopi di giustizia devono essere protetti con moderni strumenti di cifratura, precludendo la loro conoscibilità da parte di soggetti non legittimati.

LA CONSERVAZIONE DEI DATI DI TRAFFICO E LE INDICAZIONI DELL'UNIONE EUROPEA

Il tema della conservazione dei dati di traffico (telefonico e telematico) è stato oggetto di grande attenzione da parte del Garante che, nel 2006, ha avviato una serie di complessi accertamenti in loco nei confronti di numerosi gestori telefonici. Il Codice, pur fornendo una definizione generale di "dati relativi al traffico", non distingue i dati relativi al traffico "telefonico" da quelli relativi al traffico "telematico".

L'attuale disciplina in tema di data retention dettata dall'art.132 prescrive ai fornitori di servizi di comunicazione elettronica di conservare, per finalità di accertamento e repressione dei reati, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, e i dati relativi al traffico telematico, esclusi i contenuti delle comunicazioni, rispettivamente per ventiquattro e sei mesi, prevedendo un periodo ulteriore di conservazione, rispettivamente di ventiquattro e sei mesi, per l'accertamento e la repressione dei delitti individuati dall'art. 407, comma 2, lett. a), c.p.p., nonché dei delitti in danno di sistemi informatici o telematici (art. 132, comma 2). La materia della data retention sarà interessata da nuove valutazioni di carattere normativo, anche per effetto del prossimo recepimento della direttiva 2006/24/CE approvata il 15 marzo 2006 [2], che contiene chiare e precise indicazioni sul risultato atteso a livello comunitario in ordine, tra l'altro, alla corretta e uniforme individuazione delle categorie di dati da conservare, in relazione agli specifici servizi enucleati, quali telefonia di rete fissa e telefonia mobile, accesso Internet, posta elettronica e telefonia via Internet.

La direttiva è stata oggetto di numerosi rilievi nel parere espresso preventivamente dalle Autorità europee per la protezione dei dati personali (parere elaborato da un sottogruppo che è stato coordinato dall'Autorità italiana: parere del Gruppo art. 29, Wp 113, 21 ottobre 2005) [3] e nel parere successivo alla Sua adozione (parere Gruppo art. 29, Wp 119, 25 marzo 2006) [4]. In tale occasione, infatti, le Autorità di protezione dei dati hanno chiesto che, in sede di recepimento, ogni Stato provveda a garantire che le disposizioni emanate dal legislatore comunitario siano interpretate e attuate secondo modalità armonizzate, tali da assicurare ai cittadini il medesimo grado di tutela in tutta l'Unione europea.

A fronte di tali considerazioni il Gruppo art. 29 ha rilevato in particolare la necessità di prevedere:

  • l'indicazione precisa dello scopo della conservazione;
  • la limitazione dell'accesso ai dati (i dati devono essere disponibili soltanto ad autorità pubbliche, specificamente individuate in un elenco reso pubblico, quando tale accesso sia necessario ai fini di indagini rivolte all'accertamento ed al perseguimento dei reati menzionati nella direttiva;
  • di ogni accesso deve essere mantenuta una registrazione (log);
  • occorre inoltre un controllo sulle registrazioni da parte dell'autorità di vigilanza);
  • selezione dei dati da utilizzare per le finalità per le quali è consentita la conservazione (le indagini, gli accertamenti e il perseguimento di reati gravi non devono comportare il recupero generalizzato, da parte delle autorità giudiziarie e di polizia, dei dati riguardanti le abitudini e le comunicazioni di persone non sospette);
  • misure di sicurezza (devono essere definite norme riguardanti le misure di sicurezza di natura tecnica ed organizzativa che i suddetti prestatori di servizi devono adottare).

LA SALVAGUARDIA DELLA RETE NELLA NORMATIVA COMUNITARIA SULLE COMUNICAZIONI ELETTRONICHE

Negli ultimi mesi del 2005 è stata avviata la revisione del "pacchetto normativo comunitario" in materia di comunicazioni elettroniche, che riguarda anche la direttiva 2002/58/CE (la cd. "direttiva e-Privacy") [5].

La Commissione europea dopo aver pubblicato nel giugno 2006 una "comunicazione" sulla revisione del quadro normativo, che affronta anche la questione delle eventuali modifiche alla direttiva e-Privacy, ha avviato nel mese di luglio 2006 una consultazione pubblica. A tale consultazione il Gruppo dei garanti europei ha contribuito con un documento adottato il 26 settembre 2006 (Wp 126) [6].

Le proposte di modifica avanzate dalla Commissione si limitano sostanzialmente agli aspetti di "sicurezza" delle reti di comunicazione e alla necessità di aumentare i poteri delle autorità nazionali; pertanto, l'impianto complessivo della direttiva 2002/58/CE sembrerebbe destinato a rimanere inalterato.

Nel suo parere, il Gruppo ha accolto con favore questa posizione della Commissione, pur sottolineando alcune incongruenze: in via generale, il potenziamento delle misure di sicurezza non può tradursi in provvedimenti tali da comprimere la riservatezza o facilitare la sorveglianza delle comunicazioni elettroniche; rispetto alla proposta di obbligare i fornitori di servizi a segnalare non soltanto i possibili rischi per la sicurezza delle reti di comunicazione, ma anche le violazioni concretamente verificatesi, il Gruppo ha proposto di estendere tale possibilità alla totalità degli utenti e non solo alle potenziali "vittime"; è necessaria maggiore chiarezza rispetto alla questione della responsabilità, ossia se gli obblighi previsti dalla direttiva siano applicabili ai fornitori di infrastrutture per l'accesso, ai fornitori di servizi, o ad entrambi.

Su questo punto il Gruppo ha richiamato le osservazioni formulate nel proprio parere (Wp 36) reso nel 2000 in occasione dei lavori preparatori della direttiva 2002/58/CE [7].

Infine, l'incremento dei poteri delle autorità di garanzia non dovrebbe tradursi in un onere eccessivo o improprio; in particolare, secondo il Gruppo, non spetta alle autorità di protezione dei dati fissare i criteri tecnici per l'attuazione delle misure di sicurezza eventualmente indicate, che dovrebbero invece essere sviluppati dai soggetti preposti alla regolazione specifica del settore delle comunicazioni elettroniche.

IL CODICE DEONTOLOGICO DEGLI OPERATORI DELLA RETE

Nel nostro Paese, il rapporto tra utenti della rete e gli operatori internet, anche in relazione alle finalità correlate al perseguimento della "sicurezza" pubblica o privata, sarà disciplinato nel dettaglio dal codice deontologico per gli operatori Internet previsto dall'art. 133 del Codice, che consentirà di introdurre specifiche garanzie quali ulteriori presupposti di liceità e correttezza dei trattamenti di dati personali on-line. Il "codice Internet", attualmente in fase di definizione, intende indicare soluzioni effettive, adeguate e dinamiche a talune questioni al fine di sensibilizzare maggiormente gli utenti sui rischi derivanti dall'utilizzo della rete (offrendo loro ulteriori opportunità di tutela) e di indicare ai diversi operatori interessati concreti strumenti per adempiere agli obblighi di legge, assicurando un più elevato livello di rispetto della normativa sulla protezione dei dati personali. La sottoscrizione di tale codice è stata promossa dal Garante nell'ambito delle associazioni rappresentative degli operatori del settore. Nell'ambito dei lavori preparatori del codice di deontologia sono state affrontate diverse esigenze concrete ed attuali fra le quali quelle relative: all'obbligo di informare adeguatamente gli utenti circa i possibili trattamenti, impliciti o espliciti, che possono riguardarli; al consenso da manifestare espressamente e liberamente; ai presupposti e ai limiti entro i quali è legittimo l'uso di marcatori o dispositivi analoghi on-line; alle modalità semplificate per esercitare i diritti di cui all'art. 7 del Codice; alle caratteristiche di sicurezza per evitare l'aggravarsi del fenomeno del cd. "furto d'identità", già indicato tra le primissime minacce della sicurezza in rete da numerosi documenti internazionali.

LA SICUREZZA IN RETE COME FATTORE DI ACCRESCIMENTO DELLA FIDUCIA DEGLI UTENTI

La parola italiana "fiducia" corrisponde semanticamente a due distinti termini inglesi, ciascuno implicante una diversa esigenza diffusa nella rete Internet: da un lato "fiducia" corrisponde, infatti, a (web) "trust", cioè all'esigenza di transazioni sicure, dall'altro traduce (web) "confidence", nel senso di protezione della privacy compatibile con le regole di comunicazione della comunità virtuale.

Ottenere la "fiducia" del consumatore nei due sensi indicati è un fattore fondamentale per la trasparenza e l'affidabilità delle attività on-line. Infatti, la mancanza di sicurezza-fiducia che si riconnette alla mancanza di controllo sui propri dati e dispositivi non può che determinare nel medio termine, a cascata, effetti di censura dei siti web, dei contenuti digitali, di fidelizzazione forzata degli utenti ed, in ultima analisi, di crollo degli standard per l'interscambio delle informazioni.

Di recente, indagini "sul campo" sembrerebbero evidenziare una crescita del numero di consumatori on-line disposti a ricevere una personalizzazione più efficace, rendendo disponibili maggiori informazioni personali affinché l'esperienza di acquisto on-line diventi più soddisfacente. I risultati di tali ricerche, a ben vedere, evidenziano da parte degli utenti, la consapevolezza della necessità che sia garantita la sicurezza delle proprie informazioni.

Diviene perciò fondamentale l'esigenza di sicurezza e di affidabilità dei sistemi, abbinata ad una maggiore trasparenza da parte dei fornitori in grado di indicare chiaramente, in tempo reale, cosa sta accadendo in ogni passaggio on-line affinché la personalizzazione sia "amichevole" e non risulti "sospetta", inducendo un chilling effect.

L'accento, quindi, sembra destinato a spostarsi progressivamente, dal momento della raccolta, sulle garanzie di qualità del trattamento, sulla sicurezza e sull'informativa preventiva, seguendo una linea che da tempo i Garanti europei e le organizzazioni internazionali come l'OCSE hanno individuato come nuova frontiera di protezione dei diritti individuali.

Tali temi, poi, sono destinati ad essere affrontati su base internazionale, in sede di cooperazione transfrontaliera o di accordi tra gli Stati, ma anche su base di autoregolazione, ovvero attraverso il riconoscimento di nuovi diritti ai consumatori. I medesimi tratti di tendenza sono del resto riconoscibili nelle più recenti iniziative internazionali nella materia.

Gli Stati Uniti, ad esempio, hanno approvato alla fine del 2006 una nuova legislazione specifica su Internet, il cd. US SAFE WEB Act ("Undertaking Spam, Spyware, And Fraud Enforcement with Enforcers beyond Borders Act of 2006"), per limitare spam, spyware e furti di identità anche attraverso la cooperazione transfrontaliera.

Qualche settimana fa, l'OCSE ha adottato una raccomandazione sulla cooperazione tra Stati per scopi di enforcement delle normative sulla privacy rispetto ai flussi transfrontalieri di dati ed al loro trattamento on-line. In Europa, la decisione 854/2005/CE del Parlamento europeo e del Consiglio dell' 11 maggio 2005 [8] ha istituito un nuovo programma comunitario pluriennale finalizzato a promuovere un uso più sicuro di Internet e delle nuove tecnologie on-line (Safer Internet Plus), che incoraggia l'uso di misure di tipo tecnologico per contrastare contenuti indesiderati e nocivi e migliorare il livello di riservatezza in conformità alle direttive [9] 2002/58/CE e 95/46/.

NOTE

[1] Decreto legislativo 30 giugno 2003, n. 196.

[2] Direttiva n. 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GUCE N. L 105 del 13/04/2006).

[3] Gruppo art. 29, Parere 4/2005 sulla proposta di direttiva del Parlamento europeo e del Consiglio riguardante la conservazione di dati trattati nell’ambito della fornitura di servizi pubblici di comunicazione elettronica e che modifica la direttiva 2002/58/CE (COM (2005) 438 definitivo del 21.9.2005), adottato il 21 ottobre 2005 (Wp 113).

[4] Gruppo art. 29, Parere 3/2006 sulla direttiva 2006/24/CE del Parlamento europeo e del Consiglio riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, adottato il 25 marzo 2006 (Wp 119).

[5] Direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GUCE N. L 201 del 31/7/2002).

[6] Gruppo art. 29, Parere 8/2006 sulla revisione del quadro normativo per le reti e i servizi di comunicazione elettronica, con particolare attenzione alla direttiva relativa alla vita privata e alle comunicazioni elettroniche, adottato il 26 settembre 2006 (Wp 126).

[7] Gruppo art. 29, Parere 7/2000 sulla proposta della Commissione europea di direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche del 12 luglio 2000 (COM (2000) 385), adottato il 2 settembre 2000 (Wp 36).

[8] Decisione n. 854/2005/CE del Parlamento europeo e del Consiglio dell’11 maggio 2005 che istituisce un programma comunitario pluriennale inteso a promuovere un uso più sicuro di Internet e delle nuove tecnologie on line (GUCE L 149 dell’11.6.05).

[9] Direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GUCE N. L 281/40 del 23/11/1995).

Aspetti giuridici IGF 2007
indice