Quadro giuridico di riferimento

A livello internazionale va indicata, innanzitutto, la Dichiarazione ministeriale sulla protezione della privacy sulle Reti globali476_{, adottata in} ambito OCSE, in occasione della Conferenza ministeriale svoltasi ad

473_{Così T. E. FROSINI, Tecnologie e libertà costituzionali, op cit. pag. 185.}

474_{DDL n 2485 http://www.senato.it/leg/16/BGT/Schede/Ddliter/36202.htm.}

475_{Così S. RODOTà “Una cittadinanza amputata della dimensione digitale non è più una cittadinanza,} perché esclude la persona dalla dimensione globale", in un articolo dello stesso autore, Internet è un diritto,

va scritto in Costituzione, consultabile su http://mag.wired.it/rivista/storie/stefano-rodota-internet-e-un- diritto-che-va-scritto-nellacostituzione.html

476 _{Dichiarazione ministeriale sulla protezione della privacy sulle Reti globali,} DSTI/ICCP/REG(98)10/FINAL, consultabile in inglese su http://www.oecd.org/dataoecd/39/13/

Ottawa il 7-9 ottobre 1998, la quale già allora sollecitava l’esame delle questioni, specificamente concernenti la tutela della riservatezza sulle reti globali, sorte nel contesto dell’attuazione delle Linee-guida del 1980.

Le successive Linee guida sulla sicurezza dei sistemi e delle reti d’informazione, approvate sottoforma di Raccomandazione del Consiglio dell’OCSE il 25 luglio 2002, hanno messo in evidenza, poi, la necessità di una maggiore vigilanza e analisi in relazione alle sempre più urgenti questioni di sicurezza dei sistemi e delle reti d’informazione, sviluppando una vera e propria “cultura della sicurezza”477_.

In ambito europeo, come descritto nei precedenti paragrafi, con riguardo più specifico alla tutela della riservatezza nell’ambito delle comunicazioni elettroniche, la Direttiva n. 95/46 è stata integrata dalla Direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (cd. “direttiva e-privacy”), in seguito modificata dalla Direttiva n. 24 del 2006 e recentemente dalla Direttiva n. 136 del 2009.

La Direttiva n. 58/2002, quindi, non ha sostituito la Direttiva generale sulla protezione dei dati n. 95/46/CE, la quale, come visto, si applica a qualsiasi trattamento dei dati personali che rientri nel relativo ambito di applicazione, indipendentemente dalla tecnologia utilizzata e, pertanto, opera per tutte le tematiche non coperte dalla Direttiva del 2002 e per tutti i trattamenti con strumenti elettronici che esulano dall’applicazione di quest’ultima direttiva478_.

I principi generali stabiliti dalla Direttiva n. 95/46/CE, come quelli di finalità, di necessità, del trattamento leale e delle informazioni da fornire alla persona interessata dal trattamento, valgono, pertanto, anche per le comunicazioni elettroniche, internet incluso.

La Direttiva n. 2002/58/CE479 _{ha posto poi obblighi particolari in} materia di sicurezza delle comunicazioni elettroniche, come ad esempio

477 _{Linee guida sulla sicurezza dei sistemi e delle reti d’informazione. Verso una cultura della sicurezza,} consultabile su http://www.oecd.org/dataoecd/16/23/15582268.pdf.

478_{C. FILIPPI, Le nuove regole per i servizi di comunicazione elettronica:l’attuazione della direttiva 2002/58. La}

tutela della riservatezza su internet e reti telematiche, in G. SANTANIELLO (a cura di) La protezione dei dati

personali, op. cit., pag 617; A. MANEGGIA, La tutela della privacy nell’era delle comunicazioni elettroniche: cosa

ha cambiato Internet?, in In.Law, 2006, pp. 303-323, consultabile su www.morlacchilibri.com/inlaw/

downloads/ in.law_08_3.pdf.

l’obbligo dei fornitori di adottare misure appropriate per salvaguardare la sicurezza dei servizi da essi offerti (art. 4) e ha previsto una serie di misure a tutela della riservatezza (art. 5), quale l’obbligo degli Stati di garantire che l’uso di reti di comunicazione elettronica, per archiviare informazioni o per avere accesso ad informazioni archiviate nell’apparecchio terminale di un utente, sia consentito unicamente a condizione che quest’ultimo ne sia stato informato in modo chiaro e completo e che gli sia offerta la possibilità di rifiutare tale trattamento, fatta salva la memorizzazione automatica, intermedia e temporanea, necessaria alla trasmissione nelle reti di comunicazione elettroniche.

Inoltre, tra le questioni giuridiche legate alle illimitate capacità di trasmissione e comunicazione consentite da Internet rientra quella di garantire la tutela della privacy e un determinato standard di protezione dei dati personali garantito dallo Stato, in una situazione in cui operatori e soggetti esteri entrino in possesso di dati e informazioni personali di individui soggetti alla giurisdizione statale480_.

Questo, infatti, rischia di vanificare la tutela fornita dalle normative se le garanzie da essi accordate non possono trovare applicazione al di fuori dei confini nazionali.

Al riguardo gli Stati hanno adottato soluzioni diverse, comportanti in alcuni casi l’applicazione extraterritoriale della normativa statale pertinente. Ad esempio, in America la legge sulla tutela dei bambini on line del 1998 (Children’s Online Privacy Protection Act481_{) si applica anche ai siti web stranieri} che raccolgono informazioni personali dai bambini sul territorio statunitense.

480 _{Le questioni relative alla legge applicabile e alla giurisdizione in relazione ad atti compiuti su o} tramite internet sono oggetto di approfondite analisi di diritto internazionale, sia privato che pubblico, riguardanti più in generale l’estensione della giurisdizione statale su Internet. Tuttavia, oltrepassando l’ambito della presente indagine, per esse si rinvia fra i tanti a M. WINKLER, La giurisdizione nel ciberspazio, in Ciberspazio e Diritto, Volume II, Numero II, pp. 197-240. Articolo tratto dal sito

http://www.ciberspazioediritto.org; T. BALLARINO, Internet nel mondo della legge,Cedam, Padova 1998: dello stesso autore, Diritto internazionale privato, Cedam, Padova 1999; F. BRUGALETTA – F. M. LANDOLFI (a cura di), Il Diritto nel Cyberspazio, Simone, 1999; P. CERINA, Il problema della legge applicabile

e della giurisdizione, in E. TOSI (a cura di), I problemi giuridici di Internet, Giuffrè Milano, 1999, pag. 351

ss; E. LANDOLFI, La giurisdizione ed Internet, Diritto e diritti n.3/99.

481 _{Consultabile su http://www.ftc.gov/ogc/coppa1.htm; cfr anche http://www.coppa.org/}

comply.htm e http://www.ftc.gov/privacy/privacyinitiatives/childrens.html; in merito alla tutela della privacy del minore, in particolare riguardo al diritto di cronaca, si rinvia a F. RAIA, Privacy e diritto di cronaca

con riguardo a particolari categorie di soggetti: le persone pubbliche e i minori, consultabile su

In base alla predetta normativa, il gestore di un sito web diretto verso bambini di meno di 13 anni (o rivolto ad un pubblico più vasto, ma nell’ambito del quale il gestore sia a conoscenza della raccolta di informazioni da bambini) è obbligato ad ottemperare alle disposizioni previste nella legge del 1998. Tale disciplina, quindi, non si applica specificatamente solo alle imprese statunitensi, ma alle imprese “situate su internet” e, quindi, ai fini della giurisdizione, non rileva l’ubicazione fisica del sito web, nel caso in cui lo stesso operi negli Stati Uniti482_.

In ambito comunitario la legislazione di attuazione della Direttiva n. 95/46 emanata da uno Stato membro si applica, in base all’art. 4, lett. a), al trattamento di dai personali “effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l'osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile”; mentre ai sensi della lett. c), la normativa nazionale è vincolante anche per i trattamenti effettuati da responsabili non stabiliti nell’Unione Europea mediante strumenti situati sul territorio degli Stati membri.

Quindi, per le operazioni di trattamento in cui interviene un responsabile di un paese terzo, il criterio di collegamento con la normativa dello stato membro non è più il luogo di stabilimento del responsabile, bensì l’ubicazione territoriale degli strumenti utilizzati.

Inoltre, non è necessario che la persona oggetto di tutela della normativa sia un cittadino comunitario o sia fisicamente presente o residente nell’UE, la direttiva, infatti, armonizza le normative degli Stati membri in materia di diritti fondamentali riconosciuti a tutti gli esser umani.

Le disposizioni del titolo X del Codice in materia di protezione dei dati personali riguardo alle comunicazioni elettroniche sono direttamente collegate al suddetto quadro comunitario ed internazionale.

Come per la Direttiva n. 2002/58/ CE in relazione alla Direttiva generale n. 96/45/ CE, anche in questo caso quanto previsto dal titolo

482_{C. FILIPPI, Le nuove regole per i servizi di comunicazione elettronica:l’attuazione della direttiva 2002/58. La}

tutela della riservatezza su internet e reti telematiche, G. SANTANIELLO (in a cura di), La protezione dei dati

personali, op. cit., pag 625; A. MANEGGIA, La tutela della privacy nell’era delle comunicazioni elettroniche: cosa

specifico del Codice integra e non sostituisce quanto previsto nella parte generale. Pertanto, per tutto ciò che non risulta coperto dalle disposizioni sulle comunicazioni elettroniche e per i trattamenti non rientranti nell’ambito di applicazione dello stesso, vale la normativa generale del Codice.

In particolare, l’art 121 ha specificato che il capo X si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, come definiti dall’art 4, secondo comma, dello stesso Codice.

L’art. 122 riguarda, invece, l’utilizzo di strumenti nell’ambito della rete, tramite i quali è possibile archiviare informazioni negli apparecchi terminali di abbonati o utenti, accedere alla informazioni registrate o monitorare le operazioni compiute dall’utente durante l’accesso alla rete. Al riguardo il Codice ha stabilito il divieto di realizzare le predette operazioni, prevedendo, tuttavia alcune eccezioni.

E’ comunque richiesto che il fornitore abbia il consenso espresso dell’abbonato o dell’utente, ai quali deve essere fornita, a tal fine, una preventiva informativa dettagliata, dalla quale risultino sia gli elementi indicati dall’art 13 del Codice sia le finalità e la durata del trattamento.

Il Codice, inoltre, ha rinviato al Codice di deontologia previsto dall’art. 133, cui è stata demandata la specifica individuazione dei presupposti e dei limiti entro i quali è consentito l’uso dei predetti dispositivi.

Per quanto riguarda la disciplina dei dati relativi al traffico, l’art. 123 del Codice ha previsto che questi vengano cancellati o resi anonimi dal fornitore della rete o del servizio, quando si conclude la trasmissione della comunicazione, nell’ambito della quale erano stati trattati e memorizzati.

Accanto a tale previsione generale, lo stesso art. 123 ha individuato, poi, le ipotesi ed i limiti in cui è ammesso l’ulteriore trattamento dei dati relativi al traffico.

Sempre riguardo ai dati di traffico, l’art. 132 ne ha previsto, invece, la conservazione per dodici mesi per il traffico telematico (ventiquattro per quello telefonico) dalla data della comunicazione, ai fini di accertamento e repressione dei reati, esclusi comunque i contenuti delle comunicazioni.

I dai relativi all’ubicazione, diversi dai dati relativi al traffico, sono disciplinati dall’art 126 del Codice, secondo il quale possono essere trattati solo se anonimi o se l'utente o l'abbonato ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.

Pure l’art. 130 del Codice, relativo alla comunicazioni pubblicitarie o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, è incentrato sul consenso dell’interessato.

É vietato in ogni caso l'invio di comunicazioni per le suddette finalità o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7 del Codice.

La disposizione prevista dall’art. 131 del Codice è volta, invece, a garantire specificatamente la riservatezza delle comunicazioni elettroniche. E’ stato previsto, infatti, in capo ai diversi soggetti coinvolti a vario titolo nella comunicazione, l’obbligo di informare la controparte e/o gli interlocutori di qualunque tipo di situazione che permetta di far apprendere, in modo anche non intenzionale, il contenuto della comunicazione a soggetti diversi da quelli coinvolti nella comunicazione stessa.

L’art. 133 ha prescritto, come indicato, la predisposizione di un codice di deontologia e di buona condotta483_{, riguardante i trattamenti dei dati} personali effettuati dai fornitori di servizi di comunicazione e di informazione offerti nell’ambito di internet e delle reti telematiche.

Nella relativa disposizione si fa riferimento alla necessità di individuare i criteri volti ad “assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di comunicazione elettronica gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole e interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all'articolo 11 (…)”.

483 _{Cfr. art 12 del Codice, secondo il quale 1. Il Garante promuove nell'ambito delle categorie} interessate, nell'osservanza del principio di rappresentatività (…), la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, ne verifica la conformità alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto.

Al riguardo si osserva come, sebbene sia così tanto avvertita la necessità di regole specifiche relative alla tutela della privacy, tanto da sentire la necessità di un vero e proprio Bill of rights di internet, il suddetto codice di deontologia non è stato ancora approvato.

Questo probabilmente si deve, da una parte, alla difficoltà di riuscire a trovare un accordo nell’ambito delle categorie interessate, ma, forse soprattutto per la caratteristica spiccatamente globale di internet. Per essere un codice effettivamente efficace ed utile agli scopi dichiarati dovrebbe essere, infatti, espressione di principi riconosciuti ed applicati anche livello internazionale.

Infine, particolare rilevanza è stata data in generale agli aspetti concernenti la sicurezza dei dati oggetto di trattamento. È obbligatoria, infatti, l’adozione di idonee misure di sicurezza e nell’ambito di queste l’organizzazione, comunque, di misure minime di sicurezza che assicurino un livello, appunto minimo, di protezione dei dati personali.

Come verrà illustrato più avanti, per quanto riguarda il servizio di comunicazione elettronica accessibile al pubblico, l’obbligo di predisporre misure idonee è previsto dall’art. 32 del Codice, mentre le misure minime, relative al trattamento di dati personali effettuato con strumenti elettronici, sono disciplinate dall’art. 34 del Codice.