16.10.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 280/1

1.

Le tecnologie dell'informazione e della comunicazione (TIC) offrono straordinarie capacità in quasi ogni aspetto delle nostre vite: nel nostro modo di lavorare, giocare, socializzare e istruirci. Sono essenziali per l'odierna economia dell’informazione e per la società in generale.

2.

L’Unione europea è una forza globale nelle TIC avanzate ed è determinata a rimanere tale. Per rispondere a questa sfida, si prevede che la Commissione europea adotterà tra breve una nuova Agenda europea del digitale, che la commissaria Kroes ha confermato quale sua priorità (4).

3.

Il GEPD riconosce i vantaggi che derivano dalle TIC e concorda sul fatto che l’UE dovrebbe adoperarsi al massimo per incentivarne lo sviluppo e l’adozione diffusa. Egli sottoscrive, inoltre, pienamente i pareri dei commissari Kroes e Reding secondo cui gli individui dovrebbero essere al centro di questo nuovo ambiente (5). Gli individui dovrebbero poter contare sulla capacità delle TIC di mantenere le loro informazioni al sicuro e di controllarne l’uso e dovrebbero avere la garanzia che i loro diritti alla riservatezza e alla tutela dei dati saranno rispettati nello spazio digitale. Il rispetto di questi diritti è essenziale per generare la fiducia nei consumatori e tale fiducia è fondamentale se si vuole che i cittadini ricorrano a nuovi servizi (6).

4.

L'UE ha un solido quadro giuridico di protezione dei dati/vita privata, i cui principi rimangono completamente validi nell'era digitale. Tuttavia, ciò non è sufficiente. In molti casi, le TIC sollevano nuove preoccupazioni di cui non si tiene conto nel quadro attuale. Pertanto sono necessarie alcune azioni per garantire che i diritti individuali, sanciti nella legislazione dell’UE, continuino ad assicurare una protezione efficace in questo nuovo ambiente.

5.

Il presente parere tratta delle misure che potrebbero essere promosse o intraprese dall’Unione europea al fine di garantire la protezione della vita privata e dei dati degli individui in un mondo globalizzato, che rimarrà guidato dalla tecnologia. Esso discute gli strumenti legislativi e non legislativi.

6.

Dopo aver fornito una descrizione generale delle TIC quale nuovo sviluppo che crea opportunità ma anche rischi, il parere esamina la necessità di integrare, a livello pratico, la tutela dei dati e la riservatezza fin dall'inizio delle nuove tecnologie dell'informazione e della comunicazione (indicato come principio della «Privacy by Design», ovvero tutela della vita privata fin dalla progettazione). Per imporre la conformità con questo principio, il parere tratta della necessità di tenere conto del principio della tutela della vita privata fin dalla progettazione nel quadro giuridico di protezione dei dati in almeno due modi diversi. In primo luogo, integrandolo quale principio generale e vincolante e, in secondo luogo, incorporandolo in particolari ambiti delle TIC, che presentano rischi specifici per la protezione dei dati/vita privata, i quali possono essere attenuati attraverso un’adeguata architettura e progettazione tecnica. Tali ambiti sono l’identificazione a radiofrequenza (RFID), le applicazioni di social network e i browser. Per concludere, il parere indica suggerimenti relativi ad altri strumenti e principi destinati a proteggere la vita privata e la tutela dei dati degli individui nel settore delle TIC.

7.

Nel trattare di quanto sopra, il parere approfondisce alcuni punti espressi dal gruppo dell'articolo 29 nel suo contributo alla consultazione pubblica sul futuro della vita privata (7). Inoltre, si basa su pareri precedenti del GEPD, come il parere del 25 luglio 2007 sull’attuazione della direttiva sulla protezione dei dati, sul parere del 20 dicembre 2007 sulla RFID e sui suoi due pareri sulla direttiva e-privacy (8).

8.

Le TIC sono state paragonate ad altre importanti invenzioni del passato, come l'elettricità. Mentre può essere troppo presto per valutare il loro effetto storico reale, il collegamento tra le TIC e lo sviluppo economico nei paesi sviluppati è evidente. Le TIC hanno creato occupazione, benefici economici e hanno contribuito al benessere generale. L'effetto delle TIC va oltre il lato puramente economico, perché hanno svolto un ruolo importante nell'incentivare l’innovazione e la creatività.

9.

Inoltre, le TIC hanno trasformato il modo in cui le persone lavorano, socializzano e interagiscono. Ad esempio, le persone utilizzano sempre più le TIC per le interazioni sociali ed economiche. Gli individui possono usare una vasta gamma di nuove applicazioni TIC, quali sanità elettronica, trasporti elettronici e amministrazione elettronica, nonché sistemi interattivi innovativi per l’intrattenimento e l’apprendimento.

10.

Alla luce di tali benefici, le istituzioni europee hanno espresso tutte il loro impegno a sostenere le TIC quale strumento necessario a migliorare la competitività dell'industria europea e ad accelerare la ripresa economica dell'Europa. In effetti, nell’agosto 2009 la Commissione ha adottato la Relazione sulla competitività digitale in Europa (9) e ha avviato una consultazione pubblica sulle strategie future adeguate per incentivare le TIC. Il 7 dicembre 2009, il Consiglio ha proposto un contributo a questa consultazione, dal titolo «Post i2010 Strategy — Toward an open, green and competitive knowledge society» (Strategia Post i2010 — Verso una società dell’informazione aperta, verde e competitiva) (10). Il Parlamento europeo ha recentemente adottato una relazione destinata a fornire orientamenti alla Commissione nella definizione di un’agenda digitale (11).

11.

Con le opportunità e i benefici che accompagnano lo sviluppo delle TIC arrivano nuovi rischi, soprattutto per la vita privata e la protezione dei dati personali degli individui. Le TIC conducono spesso a una proliferazione (abbastanza spesso in modi nascosti agli individui) della quantità di informazioni raccolte, smistate, filtrate, trasferite oppure conservate e i rischi per tali dati si moltiplicano di conseguenza.

12.

Ad esempio, i chip RFID stanno sostituendo i codici a barre su alcuni generi di consumo. Migliorando il flusso delle informazioni nella catena di rifornimento (e riducendo in tal modo l'esigenza di riserve «di sicurezza», fornendo previsioni più esatte, ecc.) si prevede che il nuovo sistema fornirà vantaggi sia alle attività commerciali che ai consumatori. Tuttavia, allo stesso tempo, ciò solleva la possibilità preoccupante di essere rintracciati, per diversi scopi e da entità differenti, attraverso proprietà personali etichettate.

13.

Un altro esempio è il cosiddetto «cloud computing», essenzialmente la fornitura di servizi di applicazioni di consumo e non, ospitati su Internet. Tali servizi vanno da librerie fotografiche, calendari, webmail e banche dati di clienti a servizi più complessi legati al commercio. I benefici per le aziende e gli individui sono evidenti: riduzione dei costi (i costi sono incrementali), assenza di sedi (facile accesso alle informazioni ovunque nel mondo), automazione (nessuna necessità di risorse IT dedicate e di mantenere il software aggiornato) ecc. Contemporaneamente, esistono rischi reali di violazione della sicurezza e di pirateria informatica. Vi è inoltre la preoccupazione di perdere l’accesso e il controllo sui propri dati.

14.

È stato dimostrato che benefici e rischi coesistono anche in altri ambiti che utilizzano applicazioni TIC. Si consideri la sanità elettronica, che può aumentare l'efficacia, ridurre i costi, aumentare l'accessibilità e generalmente migliorare la qualità dei servizi sanitari. Tuttavia, la sanità elettronica solleva spesso la questione della legittimità degli usi secondari delle sue informazioni, che richiede un'attenta analisi degli scopi di qualsiasi possibile utilizzo secondario (12). Inoltre, con l’utilizzo più diffuso delle cartelle cliniche elettroniche, i sistemi stessi sono stati bersagliati da scandali che hanno rivelato molti casi di intrusione in tali cartelle.

15.

Nel complesso, è probabile che persista un certo grado di rischio residuo, anche dopo aver fatto le valutazioni corrette e dopo aver applicato le misure necessarie. Una situazione senza rischi sarebbe irrealistica. Tuttavia, come discusso ulteriormente di seguito, le misure possono e devono essere attuate per ridurre tale rischio a livelli adeguati.

16.

I potenziali benefici delle TIC possono essere sfruttati in pratica soltanto se sono in grado di generare fiducia, in altri termini, se possono assicurare la disponibilità degli utenti a dipendere dalle TIC a causa delle loro caratteristiche e vantaggi. Tale fiducia si produrrà soltanto se le TIC saranno affidabili, sicure, sotto il controllo degli individui e se verrà garantita la protezione dei dati e della vita privata.

17.

I rischi e gli errori diffusi come quelli illustrati sopra, specialmente quando comportano l'uso improprio o le violazioni dei dati personali che espongono la vita privata degli individui, hanno forti probabilità di mettere in pericolo la fiducia degli utenti nella società dell'informazione. Ciò potrebbe compromettere seriamente lo sviluppo delle TIC e i benefici che potrebbe portare.

18.

Tuttavia, la soluzione a questi rischi per la vita privata e la protezione dei dati non può essere di eliminare, escludere o rifiutare di utilizzare o promuovere le TIC. Ciò non sarebbe né fattibile né realistico, impedirebbe agli individui di godere dei benefici delle TIC e limiterebbe seriamente i vantaggi generali da ottenere.

19.

Il GEPD ritiene che una soluzione più positiva consista nel progettare e sviluppare le TIC in modo da rispettare la vita privata e la protezione dei dati. È quindi fondamentale che la vita privata e la protezione dei dati siano incluse all'interno dell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla loro ultima distribuzione, all’utilizzo e all’eliminazione finale. Ciò viene indicato generalmente come principio della «privacy by design» (PbD, tutela della vita privata sin dalla progettazione) e viene trattato ulteriormente di seguito.

20.

La PbD può comprendere azioni differenti, secondo il caso particolare o l'applicazione. Ad esempio, può richiedere in alcuni casi l'eliminazione/la riduzione dei dati personali o il divieto dell'elaborazione inutile e/o indesiderata. In altri casi, la PbD può comportare l’offerta di strumenti destinati ad aumentare il controllo degli individui sui loro dati personali. Queste misure dovrebbero essere considerate quando vengono definiti standard e/o migliori prassi. Esse possono essere anche integrate nell'architettura dei sistemi di informazione e comunicazione, o nelle organizzazioni strutturali delle entità che elaborano i dati personali.

21.

L’esigenza del principio della tutela della vita privata fin dalla progettazione può essere individuata in molti ambienti TIC diversi. Ad esempio, il settore della sanità si basa sempre più sulle infrastrutture TIC, che richiedono spesso l’archiviazione centralizzata di informazioni correlate alla salute dei pazienti. L'applicazione del principio di PbD nel settore sanitario richiederebbe la valutazione dell'idoneità di diverse misure quali la possibilità di ridurre al minimo i dati memorizzati a livello centrale o di limitarli a un indice, tramite strumenti di crittografia, l’assegnazione di diritti di accesso limitatamente alla «necessità di conoscenza», l’anonimizzazione dei dati una volta che non siano più necessari, ecc.

22.

Analogamente, i sistemi di trasporto sono sempre più forniti di serie di applicazioni TIC avanzate che interagiscono con il veicolo e il suo ambiente per diversi scopi e funzioni. Ad esempio, le automobili sono sempre più dotate di nuove funzionalità TIC (GPS, GSM, rete di sensori, ecc.) che forniscono non solo la loro posizione ma anche le loro condizioni tecniche in tempo reale. Queste informazioni potrebbero essere utilizzate, ad esempio, per sostituire l’attuale sistema di tassazione degli autoveicoli con un pedaggio legato all’utente. L'applicazione di PbD alla struttura dell'architettura di tali sistemi dovrebbe sostenere l'elaborazione e il trasferimento progressivo del minor numero possibile di dati personali (13). In linea con questo principio, sarebbero preferibili le architetture decentralizzate o semi-decentralizzate, che limitano la rivelazione dei dati sull’ubicazione, rispetto a quelle decentralizzate.

23.

Gli esempi riportati sopra mostrano che quando le tecnologie dell’informazione e della comunicazione sono sviluppate secondo il principio della PbD, i rischi per la vita privata e la protezione dei dati possono essere ridotti in maniera significativa.

24.

Una domanda importante è se gli operatori economici, i produttori/fornitori di TIC e i responsabili del trattamento di dati sono interessati a diffondere e ad attuare il principio della PbD nelle TIC. In questo contesto, è importante valutare, inoltre, la domanda degli utenti di PbD.

25.

Nel 2007 la Commissione ha pubblicato una comunicazione in cui invitava le aziende a utilizzare il loro potere di innovazione per creare e attuare le tecnologie di rafforzamento della tutela della vita privata quale modo per migliorare la protezione della vita privata e dei dati personali fin dall’inizio del ciclo di sviluppo (14).

26.

Finora, tuttavia, le prove disponibili indicano che né i fornitori di TIC né i responsabili del trattamento dei dati (nel settore privato o pubblico) sono riusciti ad attuare o a diffondere in maniera costante la PbD. Sono state addotte motivazioni diverse, tra cui la mancanza di incentivi economici o di supporto istituzionale, una domanda insufficiente e altro ancora (15).

27.

Allo stesso tempo, la domanda di PbD da parte degli utenti è stata piuttosto scarsa. Gli utenti di prodotti e servizi TIC possono supporre giustamente che la loro vita privata e i loro dati personali sono protetti de facto, quando in molti casi, non lo sono. In alcuni casi, non sono semplicemente nella posizione di adottare le misure di sicurezza necessarie a proteggere i loro dati personali o quelli di altri. In molti casi questo accade perché manca loro la conoscenza completa o persino parziale dei rischi. Ad esempio, in linea generale i giovani non considerano i rischi per la vita privata connessi alla visualizzazione di informazioni personali sulle reti sociali e spesso ignorano le impostazioni della privacy. Altri utenti ancora sono consapevoli dei rischi ma potrebbero non avere l’esperienza tecnica necessaria per mettere in atto tecnologie di protezione, come quelle che proteggono il loro collegamento a Internet o le modifiche delle impostazioni del browser per ridurre al minimo la creazione di profili basata sul controllo delle loro attività di navigazione in Internet.

28.

Tuttavia, i rischi per la protezione della vita privata e dei dati sono molto reali. Se la protezione della vita privata e dei dati non vengono presi in considerazione fin dall'inizio, è spesso troppo tardi ed economicamente troppo complicato riparare i sistemi e troppo tardi per riparare i danni già arrecati. Il sempre maggior numero di violazioni dei dati negli ultimi anni illustra perfettamente questo problema e rinforza l'esigenza della tutela della vita privata sin dalla progettazione.

29.

Quanto detto sopra suggerisce chiaramente che i produttori e i fornitori di tecnologie TIC destinate a elaborare i dati personali dovrebbero avere, insieme ai responsabili del trattamento dei dati, la responsabilità di progettarli con misure di protezione dei dati e di tutela della vita privata integrate. In molti casi ciò significherebbe che dovrebbero essere progettate con impostazioni predefinite della vita privata.

30.

In questo contesto, occorre considerare quali azioni dovrebbero essere intraprese dai responsabili politici per promuovere la PbD nello sviluppo delle TIC. Una prima domanda è se il quadro legale esistente di protezione dei dati contenga disposizioni adeguate per garantire l'attuazione del principio della PbD da parte sia dei responsabili del trattamento di dati che dei produttori/sviluppatori. Una seconda domanda è che cosa dovrebbe essere fatto nel contesto dell’agenda digitale europea per assicurare che il settore delle TIC generi la fiducia dei consumatori.

31.

L’UE dispone di un solido quadro di protezione dei dati e della vita privata sancito nella direttiva 95/46/CE (16), nella direttiva 2002/58/CE (17) e nella giurisprudenza della Corte europea dei diritti dell’uomo (18) e della Corte di giustizia.

32.

La direttiva sulla protezione dei dati personali si applica a «qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali» (raccolta, memorizzazione, comunicazione, ecc.). Essa impone la conformità con alcuni principi e obblighi su chi elabora i dati personali («responsabili del trattamento di dati»). Dispone diritti individuali, quali il diritto di accedere a informazioni personali. La direttiva e-privacy si occupa specificamente della protezione della vita privata nel settore delle comunicazioni elettroniche (19).

33.

L'attuale direttiva sulla protezione dei dati non contiene un requisito esplicito di PbD. Tuttavia, comprende disposizioni che indirettamente, in situazioni diverse, possono richiedere effettivamente l’attuazione del principio di PbD. In particolare, l'articolo 17 richiede che il responsabile del trattamento attui misure tecniche ed organizzative appropriate al fine di impedire il trattamento illecito dei dati personali (20). La tutela della vita privata fin dalla progettazione viene pertanto affrontata in maniera molto generica. Inoltre, le disposizioni della direttiva sono rivolte principalmente ai responsabili del trattamento dei dati e alla loro attività di trattamento dei dati personali. Non richiedono esplicitamente che le tecnologie di informazione e comunicazione siano conformi per quanto riguarda la protezione della vita privata e dei dati, il che richiede anche di proporre ai progettisti e ai produttori di TIC di includere le attività svolte in fase di normalizzazione.

34.

La direttiva e-privacy è più esplicita. L’articolo 14.3 stabilisce che «All'occorrenza, possono essere adottate misure dirette a garantire che le apparecchiature terminali siano costruite in maniera compatibile con il diritto degli utenti di tutelare e controllare l'uso dei loro dati personali in conformità della direttiva 1999/5/CE e della decisione 87/95/CEE del Consiglio, del 22 dicembre 1986, relativa alla normalizzazione nel settore delle tecnologie dell'informazione delle telecomunicazioni)». Tuttavia, questa disposizione non è mai stata utilizzata (21).

35.

Sebbene le disposizioni di cui sopra delle due direttive siano utili ai fini della promozione della tutela della vita privata fin dalla progettazione, in pratica non sono state sufficienti nell'assicurare che la vita privata fosse integrata nelle TIC.

36.

Come conseguenza della situazione di cui sopra, la legge non richiede in modo sufficientemente preciso che le TIC siano progettate in conformità con il principio della tutela della vita privata sin dalla progettazione. Inoltre, le autorità incaricate della protezione dei dati non hanno poteri sufficienti per assicurare che la PbD sia integrata. Ciò provoca l'inefficacia. Ad esempio, le autorità incaricate della protezione dei dati possono essere in grado di applicare sanzioni per la mancata risposta alle richieste di accesso fatte dagli individui e avranno le competenze per richiedere l'attuazione di alcune misure destinate ad evitare l'elaborazione illegale dei dati. Tuttavia non è sempre sufficientemente chiaro se i loro poteri si estendano a richiedere che un sistema sia progettato in modo da facilitare i diritti di protezione dei dati degli individui (22). Ad esempio, in base alle disposizioni legali attuali non è chiaro se si potrebbe richiedere che l'architettura di un sistema d'informazione sia progettata in modo da agevolare la risposta delle società alle richieste di accesso fatte dagli individui, in modo che tali richieste possano essere gestite automaticamente e più rapidamente. Inoltre, tentativi successivi di alterare la tecnologia una volta sviluppata o installata possono produrre un insieme di soluzioni che non funzionano completamente, oltre ad essere economicamente onerose.

37.

Secondo il parere del GEPD, condiviso dal gruppo dell'articolo 29 (23), l’attuale quadro legale lascia spazio a un sostegno più esplicito del principio della PbD.

38.

Alla luce di quanto sopra, il GEPD suggerisce alla Commissione di seguire quattro linee di condotta:

39.

Il GEPD propone di includere inequivocabilmente ed esplicitamente il principio della tutela della vita privata sin dalla progettazione nel quadro normativo esistente sulla protezione dei dati. Ciò renderebbe il principio della PbD più solido, più esplicito e ne imporrà l’attuazione efficace, oltre a dare maggiore legittimità alle autorità incaricate di farlo rispettare per richiedere la sua applicazione de facto nella pratica. Questo è particolarmente necessario alla luce dei fatti descritti sopra, non solo l'importanza del principio in sé quale strumento per promuovere la fiducia, ma anche come incentivo alle parti interessate per attuare la PbD e aumentare le garanzie indicate nel quadro giuridico attuale.

40.

Questa proposta si basa sulla raccomandazione del gruppo dell'articolo 29 di introdurre il principio di «privacy by design» quale principio generale nel quadro giuridico della protezione dei dati, in particolare, nella direttiva sulla protezione dei dati. Secondo il gruppo dell’articolo 29: «This principle should be binding for technology designers and producers as well as for data controllers who have to decide on the acquisition and use of ICT. They should be obliged to take technological data protection into account already at the planning stage of information-technological procedures and systems. Providers of such systems or services as well as controllers should demonstrate that they have taken all measures required to comply with these requirements» (Questo principio dovrebbe essere vincolante per i progettisti e i produttori di tecnologia nonché per i responsabili del trattamento dei dati che devono decidere in merito all'acquisizione e all'uso delle TIC. Essi dovrebbero essere obbligati a tenere in considerazione la protezione tecnologica dei dati già nella fase di progettazione delle procedure e dei sistemi di informazione e tecnologici. I fornitori di tali sistemi o servizi e i responsabili del trattamento dovrebbero dimostrare di aver adottato tutte le misure necessarie a soddisfare questi requisiti).

41.

Il GEPD accoglie inoltre favorevolmente l'approvazione da parte del commissario Viviane Reding del principio della tutela della vita privata sin dalla progettazione fatta nell’ambito dell’annuncio della revisione della direttiva sulla protezione dei dati (24).

42.

Ciò porta al contenuto di tale regolamento. Per prima cosa, e più importante, un principio generale di tutela della vita privata sin dalla progettazione dovrebbe essere tecnologicamente neutro. Il principio non dovrebbe mirare a regolamentare la tecnologia, ovvero non dovrebbe prescrivere soluzioni tecniche specifiche, ma dovrebbe invece stabilire che i principi esistenti di protezione della vita privata e dei dati siano integrati in sistemi e soluzioni di informazione e comunicazione. Ciò consentirebbe alle parti interessate, ai produttori, ai responsabili del trattamento dei dati e alle autorità di vigilanza di interpretare il significato del principio in ogni caso specifico. In secondo luogo, la conformità con il principio dovrebbe essere obbligatoria in diverse fasi, dalla creazione di standard e la progettazione dell'architettura alla loro attuazione da parte del responsabile del trattamento dei dati.

43.

Gli strumenti legislativi attuali e futuri devono integrare il principio della PbD in base all’attuale quadro giuridico e, dopo l'adozione della disposizione generale proposta sopra, in base all’ultima disposizione. Ad esempio, secondo le attuali iniziative relative ai sistemi di trasporto intelligenti la Commissione avrà una responsabilità iniziale specifica nella definizione di misure, iniziative di normalizzazione, procedure e migliori pratiche. Nell'assolvimento di queste mansioni, il principio guida dovrebbe essere quello della PbD.

44.

Il GEPD osserva, inoltre, che il principio della tutela della vita privata sin dalla progettazione ha un’importanza specifica anche nell’ambito della libertà, della sicurezza e della giustizia, in particolare rispetto agli obiettivi della strategia di gestione delle informazioni, come previsto nel programma di Stoccolma (25). Nel suo parere relativo al programma di Stoccolma il GEPD ha sottolineato il fatto che l'architettura per lo scambio di informazioni dovrebbe essere basata sulla «privacy by design» (26): «Ciò significa più concretamente che i sistemi di informazione progettati per finalità di sicurezza pubblica dovrebbero sempre essere costruiti conformemente al principio della “tutela della vita privata fin alla progettazione”».

45.

Il parere del gruppo dell’articolo 29 sul futuro della vita privata (27) insiste in termini ancora più precisi sul fatto che nel campo della libertà, della sicurezza e della giustizia, dove le autorità pubbliche sono gli attori principali e dove le misure che aumentano la sorveglianza influiscono direttamente sui diritti fondamentali alla protezione della vita privata e dei dati, i requisiti della tutela della vita privata sin dalla progettazione dovrebbero essere resi obbligatori. Introducendo questi requisiti nei sistemi d'informazione, i governi stimolerebbero inoltre la tutela della vita privata sin dalla progettazione nella loro funzione di clienti di riferimento.

46.

Le tecnologie dell’informazione e della comunicazione sono sempre più complesse e comportano maggiori rischi per la protezione della vita privata e dei dati. In generale, le informazioni digitalizzate, cui è più facile avere accesso e che è più agevole copiare e trasmettere, sono esposte a rischi molto più elevati delle informazioni scritte. Avanzando verso le reti di oggetti interconnessi, i rischi aumenteranno. Maggiori sono i rischi per la protezione della vita privata/dei dati, più elevata sarà la domanda di una maggiore protezione dei dati/tutela della vita privata. Di conseguenza, le giustificazioni alla necessità di attuare la PbD sono più impellenti nel settore delle TIC. Inoltre, come discusso sopra, la fiducia degli individui nelle TIC è fondamentale perché i cittadini scelgano questi nuovi servizi e la vita privata e la protezione dei dati sono elementi fondamentali di tale fiducia.

47.

Quanto esposto sopra sottolinea il fatto che una strategia per lo sviluppo delle TIC deve confermare la necessità che siano progettate con un elemento intrinseco di protezione della vita privata e dei dati, ovvero prendendo in considerazione il principio di tutela della vita privata sin dalla progettazione.

48.

Di conseguenza, l'Agenda europea del digitale dovrebbe approvare esplicitamente il principio di tutela della vita privata sin dalla progettazione come elemento necessario per assicurare la fiducia dei cittadini nelle TIC e nei servizi on-line. Dovrebbe riconoscere che la vita privata e la fiducia vanno di pari passo e che la tutela della vita privata sin dalla progettazione deve essere un fattore guida nello sviluppo di un settore delle TIC affidabile.

49.

La Commissione dovrebbe avere come principio guida la tutela della vita privata sin dalla progettazione nell'attuazione di politiche, attività e iniziative in specifici settori delle TIC, tra cui la sanità elettronica, gli appalti elettronici, la previdenza sociale elettronica, l’e-learning ecc. Molte di queste iniziative saranno punti di azione nell’Agenda europea del digitale.

50.

Ciò significa, ad esempio, che le iniziative per assicurare che le applicazioni di amministrazione siano più efficienti e moderne in modo che gli individui possano interagire con le amministrazioni dovrebbero includere la necessità che siano progettate e operate in conformità con il principio della tutela della vita privata sin dalla progettazione. Lo stesso discorso vale per le politiche e le attività della Commissione che provvedono a un Internet più veloce, ai contenuti digitali, o alla promozione globale delle comunicazioni fisse e senza fili e della trasmissione dei dati.

51.

Quanto detto sopra comprende inoltre ambiti in cui la Commissione è responsabile dei sistemi informativi su larga scala, quali SIS e VIS, nonché di quei casi in cui la responsabilità della Commissione è limitata allo sviluppo e al mantenimento dell'infrastruttura comune di un sistema di questo tipo, come il Sistema europeo di informazione sui casellari giudiziari (ECRIS).

52.

Il grado di esattezza con cui verrà sviluppato il principio di PbD dipenderà da ogni settore e situazione particolare. Ad esempio, quando le iniziative della Commissione sono accompagnate da proposte legislative su un settore specifico delle TIC, in molti casi sarà opportuno comprendere un riferimento esplicito alla nozione di PbD applicabile alla struttura dell'applicazione/sistema di TIC particolare. Se vengono progettati piani d'azione per un ambito specifico, essi dovrebbero assicurare sistematicamente l'applicazione del quadro giuridico e più specificamente garantire che la relativa tecnologia TIC sia sviluppata tenendo in considerazione il principio della tutela della vita privata sin dalla progettazione.

53.

Per quanto riguarda la ricerca, il settimo programma quadro e quelli seguenti dovrebbero essere utilizzati come strumento per sostenere progetti che mirano ad analizzare gli standard, le tecnologie e l'architettura TIC più appropriati per la vita privata e soprattutto per il principio della tutela della vita privata sin dalla progettazione. Inoltre, la PbD dovrebbe essere anche un elemento necessario da considerare in progetti TIC più ampi destinati al trattamento dei dati personali degli individui.

54.

In alcuni casi, a causa dei rischi particolari per la protezione della vita privata e dei dati degli individui o a causa di altri fattori (resistenza del mercato a fornire prodotti con PbD, domanda dei consumatori, ecc) può essere necessario definire misure di tutela della vita privata sin dalla progettazione più esplicite e più specifiche, che devono essere incorporate in un determinato tipo di prodotto/tecnologia di informazione e comunicazione, sia esso all’interno o meno di strumenti legislativi.

55.

Il GEPD ha individuato diversi ambiti (RFID, social networking e applicazioni di browser) che meritano, secondo il suo parere, in questa fase, un’attenta considerazione da parte della Commissione e il maggiore intervento sul campo auspicato in precedenza. Questi tre ambiti vengono discussi ulteriormente nel prosieguo.

56.

Le etichette RFID possono essere integrate negli oggetti, negli animali e nelle persone. Possono essere utilizzate per raccogliere e memorizzare dati personali quali le cartelle cliniche, per seguire i movimenti delle persone o per tracciare dei profili del loro comportamento per diversi scopi. Ciò può essere fatto senza che gli individui ne siano consapevoli (28).

57.

Garanzie efficaci per quanto riguarda la protezione dei dati, la vita privata e tutte le dimensioni etiche collegate sono fondamentali per la fiducia pubblica nell’identificazione a radiofrequenza e per un futuro «Internet degli oggetti». Soltanto allora la tecnologia potrà offrire i suoi numerosi benefici economici e sociali.

58.

La direttiva sulla protezione dei dati e la direttiva e-privacy si applicano alla raccolta di dati realizzata attraverso applicazioni RFID (29). Esse richiedono, tra l’altro, che vengano messe in atto adeguate tutele della vita privata allo scopo di far funzionare applicazioni di RFID (30).

59.

Tuttavia, questo quadro legale non affronta completamente tutte le preoccupazioni relative alla protezione dei dati e alla vita privata sollevate da questa tecnologia. Questo perché le direttive non sono sufficientemente dettagliate riguardo al tipo di tutele che dovrebbero essere attuate nelle applicazioni di RFID. Le regole esistenti devono essere integrate con regole supplementari che impongono tutele specifiche, che rendono obbligatorio soprattutto includere soluzioni tecniche (tutela della vita privata fin dalla progettazione) nella tecnologia RFID. Ciò vale per le etichette che memorizzano le informazioni personali, che dovrebbero essere dotate di «comandi kill» e per l'uso della crittografia in etichette che memorizzano determinati tipi di informazioni personali.

60.

Nel marzo 2007, la Commissione ha adottato una comunicazione (31) che riconosce, tra l’altro, la necessità di un orientamento dettagliato sull’attuazione pratica del dispositivo di identificazione a radiofrequenza (RFID) e la desiderabilità di adottare criteri di progettazione per evitare rischi alla riservatezza e alla sicurezza.

61.

Per raggiungere questi obiettivi, nel maggio 2009, la Commissione ha adottato una raccomandazione sull’applicazione dei principi di protezione della vita privata e dei dati personali nelle applicazioni basate su RFID (32). Per quanto riguarda le applicazioni basate su RFID nell’ambito della vendita al dettaglio, è necessaria la disattivazione della targhetta presso il punto di vendita tranne qualora le singole persone abbiano dato il proprio consenso. Ciò si applica in tutti i casi ad eccezione di quando una valutazione dell’impatto della protezione della vita privata e dei dati personali dimostri che le etichette non rappresentano una possibile minaccia alla protezione della vita privata e dei dati personali, nel qual caso rimarranno operative dopo il punto di vendita a meno che le singole persone, a titolo gratuito, non decidano altrimenti.

62.

Il GEPD concorda con l’approccio della Commissione di utilizzare strumenti di autoregolamentazione. Tuttavia, come descritto ulteriormente di seguito, è concepibile che l’autoregolamentazione non produca i risultati previsti; pertanto fa appello alla Commissione affinché sia pronta ad adottare misure alternative.

63.

Il GEPD è preoccupato che le organizzazioni che si occupano del funzionamento delle applicazioni basate su RFID nel settore della vendita al dettaglio possano sottovalutare la possibilità che le etichette RFID vengano monitorate da terze parti indesiderate. Tale monitoraggio potrebbe rivelare dati personali archiviati nella targhetta (se presente), tuttavia potrebbe anche consentire a una terza parte di seguire le mosse di una persona o riconoscerla nel tempo semplicemente utilizzando gli identificatori esclusivi contenuti in una o più etichette trasportate da tale persona, in un ambiente che può persino trovarsi al di fuori del perimetro operativo dell’applicazione RFID. Inoltre, è preoccupato che gli operatori delle applicazioni a radiofrequenza possano essere tentati di non rispettare le regole e commettere eccezioni, lasciando operativa la targhetta all’uscita dal punto di vendita.

64.

Se si verifica quanto sopra, potrebbe essere troppo tardi per mitigare i rischi per la protezione della vita privata e dei dati personali e le singole persone potrebbero già averne risentito. Inoltre, data la natura dell’autoregolamentazione, le autorità nazionali incaricate dell’applicazione della legge potrebbero trovarsi in una posizione svantaggiata nel momento in cui richiedono alle organizzazioni che si occupano del funzionamento delle applicazioni RFID di adottare una specifica privacy by design (PbD, tutela della vita privata sin dalla progettazione).

65.

Alla luce di quanto sopra, il GEPD fa appello alla Commissione affinché sia pronta a proporre strumenti legislativi di regolamentazione delle questioni principali dell’uso dell’RFID qualora fallisca l’attuazione efficace del quadro giuridico esistente. La valutazione della Commissione non dovrebbe essere indebitamente posposta; la sua posposizione presenterebbe dei rischi per le singole persone e sarebbe anche controproduttiva per il settore, dato che le incertezze legali sono troppo elevate e i problemi correlati potrebbero essere più difficili e costosi da correggere.

66.

Tra le misure che potrebbe essere necessario proporre, il GEPD raccomanda la prescrizione del principio di inclusione presso il punto di vendita conformemente al quale tutte le etichette RFID affisse ai prodotti di consumo verrebbero disattivate al punto di vendita per impostazione predefinita. Potrebbe non essere necessario o appropriato per la Commissione specificare la tecnologia concreta da utilizzare. Al contrario, la legge dell’Unione europea deve stabilire l’obbligo legale di ottenere il consenso di inclusione, lasciando decidere agli operatori la modalità di adempimento della prescrizione.

67.

Le informazioni prodotte dalle etichette RFID, ad esempio le informazioni sul prodotto, possono eventualmente essere interconnesse in una rete globale di infrastruttura di comunicazione. A ciò si fa in genere riferimento con l’espressione «Internet of things» (Internet degli oggetti). Le questioni relative alla protezione della vita privata e dei dati personali sorgono poiché gli oggetti del mondo reale possono essere identificati da etichette RFID che oltre alle informazioni sul prodotto possono includere dati personali.

68.

Esistono numerose questioni aperte riguardo a chi gestirà l’archivio delle informazioni correlate agli elementi etichettati. Come sarà organizzato? Chi vi avrà accesso? Nel giugno 2009, la Commissione ha approvato una comunicazione sull’Internet degli oggetti (33) che ha individuato esplicitamente i potenziali problemi di questo fenomeno relativamente alla protezione della vita privata e dei dati personali.

69.

Il GEPD vorrebbe sottolineare alcune delle questioni sollevate dalla comunicazione che, a suo parere, meritano un’attenzione particolare mentre si sviluppa l’Internet degli oggetti. In primo luogo, la necessità di un’architettura decentralizzata potrebbe facilitare l'affidabilità ed esecutività del quadro giuridico dell’UE. In secondo luogo, dovrebbero essere salvaguardati quanto più possibile i diritti delle singole persone a non essere rintracciate. In altri termini, dovrebbero esserci casi molto limitati in cui le persone vengono rintracciate tramite le etichette RFID senza il loro consenso. Tale consenso dovrebbe essere esplicito. Ciò è noto in genere come il «silence of chips» (disattivare i chip) e il «diritto di essere lasciato in pace». Infine, nel progettare l’Internet degli oggetti, il principio della tutela della vita privata sin dalla progettazione dovrebbe costituire un principio guida. Questo richiederebbe, ad esempio, di progettare applicazioni RFID concrete dotate di meccanismi incorporati per fornire il controllo agli utenti con impostazioni di riservatezza predefinite.

70.

Il GEPD prevede di essere consultato mentre la Commissione mette a punto le azioni previste nella comunicazione, in particolare la stesura del progetto della comunicazione sulla riservatezza e la fiducia nella società dell’informazione totale.

71.

Le reti sociali sono la novità del momento. La loro popolarità sembra avere superato quella dell’e-mail; mettono le persone in contatto con altre che condividono interessi e/o attività simili. Le persone possono mettere i loro profili online e condividere documenti multimediali quali video, foto, musica e i loro profili di carriera.

72.

I giovani hanno adottato rapidamente l’abitudine di partecipare alla creazione di reti sociali e questa tendenza continua. L’età media degli utenti di Internet in Europa è diminuita negli ultimi anni: i bambini di 9-10 anni ora si collegano più volte alla settimana; i ragazzi di 12-14 anni si collegano quotidianamente, spesso da una a tre ore al giorno.

73.

Lo sviluppo delle reti sociali ha consentito agli utenti di pubblicare su Internet informazioni personali e riguardanti terze parti. Nel fare ciò, conformemente al gruppo dell'articolo 29 (34), gli utenti di Internet agiscono come responsabili del trattamento di dati, in base all’articolo 2, lettera d) della direttiva sulla protezione dei dati, per i dati che pubblicano online (35). Tuttavia, nella maggior parte dei casi tale elaborazione rientra nell’eccezione di cui all’articolo 3.2 della direttiva. Al contempo, i servizi di creazione di reti sociali sono considerati responsabili del trattamento di dati in quanto procurano i mezzi per l’elaborazione dei dati dell'utente e forniscono tutti i servizi di base correlati alla gestione degli utenti (ad esempio, registrazione ed eliminazione degli account).

74.

In termini legali ciò significa che gli utenti Internet e i servizi di social network condividono la responsabilità congiunta per l’elaborazione dei dati personali come «responsabili del trattamento di dati» ai sensi dell’articolo 2, lettera d) della direttiva, anche se a livelli diversi e con serie di obblighi diversi.

75.

Di conseguenza, gli utenti dovrebbero conoscere e comprendere che elaborando le proprie informazioni personali e quelle degli altri, rientrano nelle disposizioni della legislazione dell’UE in materia di protezione dei dati che richiede, tra l’altro, l’ottenimento del consenso informato delle persone alle quali si riferiscono direttamente le informazioni pubblicate e la concessione a tali persone del diritto di rettifica, obiezione ecc. Allo stesso modo, i servizi di social network, devono, tra l’altro, attuare misure tecniche e organizzative adeguate per impedire l’elaborazione non autorizzata delle informazioni, tenendo conto dei rischi rappresentati dall’elaborazione e della natura dei dati. Ciò a sua volta significa che i servizi di social network dovrebbero assicurare impostazioni predefinite non lesive della sfera privata, tra cui impostazioni che limitano l’accesso al profilo ai soli contatti espressamente prescelti dall’utente stesso. Le impostazioni dovrebbero richiedere anche il consenso affermativo prima che un qualsiasi profilo diventi accessibile a terze parti e i profili ad accesso limitato non dovrebbero essere reperibili dai motori di ricerca interni.

76.

Sfortunatamente, esiste un divario tra le prescrizioni legali e la conformità effettiva. Sebbene in termini legali gli utenti di Internet siano considerati responsabili del trattamento di dati e siano vincolati dal quadro giuridico dell’UE in materia di protezione della vita privata e dei dati personali, in realtà, essi sono spesso inconsapevoli di questo ruolo. In termini generali, hanno una scarsa comprensione del fatto che stanno elaborando dati personali e che nella pubblicazione di tali informazioni sono impliciti rischi correlati alla protezione della vita privata e dei dati personali. I giovani in particolare pubblicano contenuti online sottovalutando le conseguenze per se stessi e per gli altri, ad esempio, nel contesto della loro successiva iscrizione presso istituti di insegnamento o delle loro future candidature di lavoro.

77.

Al contempo, i provider di social network spesso preselezionano impostazioni predefinite basate su opzioni di esclusione, agevolando in tal modo la divulgazione di informazioni personali. Alcuni consentono la reperibilità dei profili tramite i comuni motori di ricerca per impostazione predefinita. Ciò suscita interrogativi sul fatto che le singole persone abbiano effettivamente acconsentito alla divulgazione di tali informazioni oltre che sulla verifica della conformità dei social network con l’articolo 17 della direttiva (sopra descritta) che richiede ai provider di attuare misure tecniche e organizzative adeguate per impedire l’elaborazione non autorizzata.

78.

Quanto sopra aumenta il rischio per la protezione della vita privata e dei dati personali. Espone gli utenti di Internet e quelli i cui dati sono stati pubblicati a violazioni palesi della protezione della loro vita privata e dei dati personali.

79.

In questo contesto, la questione che dovrebbe affrontare la Commissione è che cosa si dovrebbe e si potrebbe fare per rimediare alla situazione. Questo parere non fornisce una risposta completa alla domanda, al contrario suggerisce un certo numero di consigli per prenderla ulteriormente in considerazione.

80.

Il primo suggerimento consiste nell’investire nell’istruzione dell’utente. A questo proposito, le istituzioni dell’UE e le autorità nazionali dovrebbero investire nell’istruzione e nella sensibilizzazione in merito alle minacce poste dai siti Internet dei social network. Ad esempio, la DG Società dell’Informazione e media si è occupata della gestione del Safer Internet Programme, (programma per un’Internet più sicura) che mira ad attribuire più opportunità ai bambini e ai giovani e a tutelarli, ad esempio, mediante attività di sensibilizzazione (36). Recentemente, le istituzioni dell’UE hanno lanciato la campagna «Think before you post» (Prima di postare pensa) per sensibilizzare i giovani riguardo ai rischi di condivisione delle informazioni personali con persone sconosciute.

81.

Il GEPD incoraggia la Commissione a continuare a sostenere questo tipo di attività. Tuttavia, gli stessi provider di social network dovrebbero svolgere un ruolo attivo, poiché ad essi spetta la responsabilità giuridica e sociale di istruire gli utenti riguardo alle modalità di utilizzo dei loro servizi in un modo sicuro e non lesivo della sfera privata.

82.

Come descritto in precedenza, quando si «postano» informazioni sui social network, le informazioni possono essere rese disponibili per impostazione predefinita in numerosi modi diversi. Ad esempio, le informazioni possono essere disponibili al pubblico in generale, incluso ai motori di ricerca, che possono elencarle e pertanto fornire collegamenti diretti ad esse. D’altro canto, le informazioni possono essere limitate ad «amici selezionati» o possono essere mantenute completamente riservate. Naturalmente, le autorizzazioni del profilo e la terminologia utilizzata variano da sito a sito.

83.

Ciononostante, come delineato in precedenza, pochissimi utenti dei servizi di social network sanno come controllare l’accesso alle informazioni che «postano», ancora meno sono in grado di modificare le impostazioni di riservatezza predefinite. Le impostazioni di riservatezza, in genere, rimangono inalterate poiché gli utenti non sono consapevoli delle implicazioni del fatto di non averle modificate o non sanno come farlo. Nella maggior parte dei casi, tuttavia, il fatto di non avere modificato le impostazioni di riservatezza non significa che le persone abbiano preso la decisione informata di accettare lo scambio di informazioni. In questo contesto, è particolarmente importante che le terze parti, quali, ad esempio, i motori di ricerca, non creino collegamenti con i singoli profili, presupponendo che gli utenti abbiano acconsentito per impostazione predefinita (non modificando le impostazioni di riservatezza) a rendere disponibili le informazioni senza limitazioni.

84.

L’istruzione degli utenti potrebbe essere d’aiuto per rimediare a questa situazione, tuttavia essa non può funzionare da sola. Come raccomanda il gruppo dell'articolo 29 nel suo parere sui social network, i provider di social network dovrebbero offrire impostazioni predefinite di riservatezza gratuite non lesive della sfera privata. Ciò renderebbe gli utenti più sensibili riguardo alle proprie azioni e, consentirebbe loro di operare scelte migliori in merito all’intenzione o meno di condividere informazioni e riguardo ai destinatari di tali informazioni.

85.

La Commissione ha stipulato un accordo con venti provider di social network noti come «Safer Social Networking Principles for the EU» (Principi più sicuri in materia di socializzazione in rete nell’UE) (37). Lo scopo dell’accordo è di migliorare la sicurezza dei minori durante l’utilizzo dei siti di social network in Europa. Tali principi includono numerose delle prescrizioni derivate dall’applicazione del quadro giuridico di protezione dei dati sopra descritto. Essi includono, ad esempio, la prescrizione di aumentare le opportunità di controllo a disposizione degli utenti tramite strumenti e tecnologie, per assicurare loro di poter controllare l’uso e la diffusione delle proprie informazioni personali. Viene inclusa anche la necessità di fornire impostazioni di riservatezza per impostazione predefinita.

86.

Agli inizi del gennaio 2010, la Commissione ha reso disponibili i risultati di una relazione che valuta l’applicazione dei principi (38). Il GEPD è preoccupato che questa relazione mostri che, sebbene alcuni passi siano stati intrapresi, ne restino ancora molti altri da fare. La relazione ha riscontrato, ad esempio, problemi riguardanti la comunicazione delle misure di sicurezza e gli strumenti disponibili sui siti. Ha riscontrato inoltre che meno della metà dei firmatari dell’accordo limita l’accesso dei profili dei minori ai soli loro amici.

87.

In questo contesto, la questione chiave è se le misure politiche aggiuntive sono necessarie per assicurare che i social network impostino i loro servizi con impostazioni predefinite di riservatezza. Questa questione è stata sollevata dal precedente commissario della Società dell’Informazione Viviane Reding, la quale ha sottolineato che potrebbe essere necessaria una legislazione (39). Lungo le stesse linee di discorso, il Comitato economico e sociale europeo ha affermato che parallelamente all’autoregolamentazione dovrebbero essere imposti per legge standard minimi di protezione (40).

88.

Come osservato in precedenza, l’obbligo per i provider di social network di attuare impostazioni di riservatezza predefinite può essere dedotto indirettamente dall’articolo 17 della direttiva sulla protezione dei dati (41) che obbliga i responsabili del trattamento dei dati a intraprendere misure tecniche e organizzative adeguate («both at the time of the design of the processing system and at the time of the processing itself») (sia al momento della progettazione del sistema di elaborazione che durante la fase di elaborazione stessa) per mantenere la sicurezza ed evitare l’elaborazione non autorizzata, tenendo conto dei rischi rappresentati dall’elaborazione e della natura dei dati.

89.

Tuttavia, questo articolo è di gran lunga troppo generico e manca di specificità, anche in questo contesto. Non afferma chiaramente che cosa si intenda per misure tecniche e organizzative adeguate nel contesto dei social network. Pertanto, la situazione attuale è caratterizzata da un’incertezza giuridica tale da causare problemi sia ai legislatori sia alle persone la cui vita privata e dati personali non sono interamente protetti.

90.

Alla luce di quanto sopra, il GEPD insiste presso la Commissione affinché prepari una legislazione che includa, come prescrizione minima, l’obbligo generale di richiedere impostazioni predefinite di riservatezza, unite a prescrizioni più precise:

91.

Oltre al fatto di prescrivere impostazioni predefinite obbligatorie per la riservatezza, rimane aperta la questione se possono essere adeguate anche la protezione dei dati specifica aggiuntiva e altre misure (ad esempio, riguardanti la protezione dei minori). Ciò solleva la questione più ampia se sia adeguato o meno creare un quadro specifico per questi tipi di servizi che, oltre a prevedere impostazioni di riservatezza obbligatorie, regolerebbero altri aspetti. Il GEPD ha chiesto alla Commissione di prendere in considerazione tale questione.

92.

I provider di reti di inserzioni utilizzano cookie e altri dispositivi per eseguire il monitoraggio del comportamento dei singoli utenti quando navigano su Internet al fine di catalogare i loro interessi e creare profili. Queste informazioni vengono quindi utilizzate per inviare le loro inserzioni mirate (42).

93.

La presente elaborazione è coperta dalla direttiva sulla protezione dei dati (quando sono coinvolti i dati personali) e anche dall’articolo 5.3 della direttiva e-Privacy. Questo articolo richiede specificatamente che l’utente venga informato e che gli venga concessa l’opportunità di reagire accettando o rifiutando l’archiviazione di dispositivi quali, ad esempio, i cookie ecc sul suo computer o su un altro dispositivo (43).

94.

Fino ad oggi, i provider di reti di inserzioni hanno fatto affidamento sulle impostazioni del browser e su politiche in materia di riservatezza per informare gli utenti e consentire loro di accettare o rifiutare i cookie. Essi hanno spiegato nelle politiche di riservatezza degli editori come scegliere opzioni di esclusione per non ricevere cookie in generale o per accettarli caso per caso. Nel fare ciò, intendono essere conformi al loro obbligo di offrire agli utenti il diritto di rifiutare i cookie.

95.

Sebbene teoricamente questo metodo (tramite il browser) possa in effetti prevedere in modo efficiente un consenso informato significativo, la realtà è molto diversa. In generale, agli utenti manca la comprensione di base della raccolta di qualsiasi tipo di dati, che è ancora più scarsa se si tratta di terze parti, nonché del valore di tali dati, degli usi che ne vengono fatti, di come funziona la tecnologia e, ancora più in particolare, di come e in quali casi scegliere le opzioni di esclusione. I passi che devono compiere gli utenti per scegliere le opzioni di esclusione non appaiono solo complicati ma anche eccessivi (in primo luogo, occorre impostare il browser per accettare i cookie, quindi in un secondo momento è possibile esercitare l’opzione di esclusione).

96.

Di conseguenza, in pratica un numero molto limitato di persone esercita l’opzione di esclusione, non in seguito a una decisione informata di accettare behavioural advertisement (pubblicità comportamentale), quanto piuttosto perché non si rende conto che evitando di usare l’opzione di esclusione in realtà sta fornendo inconsapevolmente il suo consenso.

97.

Pertanto, in termini giuridici, l’articolo 5, paragrafo 3 della direttiva e-Privacy prevede una protezione legale efficace, in pratica, si ritiene che gli utenti di Internet abbiano fornito il loro consenso a essere monitorati allo scopo di inviare loro pubblicità comportamentale quando, in effetti, nella maggior parte se non addirittura nella totalità dei casi, essi sono completamente inconsapevoli del fatto di essere monitorati.

98.

Il gruppo dell’articolo 29 sta preparando un parere, atteso favorevolmente, che mira a chiarire le prescrizioni legali per svolgere attività di pubblicità comportamentale. Tuttavia, l’interpretazione potrebbe non essere sufficiente di per sé per risolvere questa situazione e potrebbe essere necessario per l’Unione europea intraprendere ulteriori misure.

99.

Come descritto in precedenza, i browser web, in genere, consentono un certo livello di controllo su determinati tipi di cookie. Attualmente, le impostazioni predefinite della maggior parte dei browser web accettano tutti i cookie. In altri termini, per impostazione predefinita, i browser sono regolati in modo da accettare tutti i cookie, indipendentemente dallo scopo del cookie stesso. Solo se l’utente modifica le impostazioni dell’applicazione del browser per rifiutare i cookie, cosa che come è stato osservato in precedenza, fa un numero molto esiguo di utenti, sarà possibile non ricevere cookie. Inoltre, non è previsto un privacy wizard (generatore di clausole sulla vita privata) durante la prima installazione o durante le installazioni aggiornamento delle applicazioni del browser.

100.

Un modo per mitigare il problema precedente sarebbe se i browser fossero provvisti di impostazioni predefinite di riservatezza. In altri termini, se fossero dotati dell’impostazione di «non accettazione dei cookies di terze parti». Per integrare e rendere più efficace questa impostazione, i browser dovrebbero richiedere all’utente di eseguire un generatore di clausole sulla vita privata quando installano il browser per la prima volta o quando installano gli aggiornamenti. Esiste l’esigenza di informazioni più chiare e capillari sui tipi di cookie e sull’utilità di alcuni di essi. Gli utenti che desiderano essere monitorati allo scopo di ricevere pubblicità dovrebbero essere debitamente informati e dovrebbe essere necessario per loro modificare le impostazioni del browser. Ciò consentirebbe loro un migliore controllo sulla propria vita privata e sui dati personali. Secondo il GEPD, si tratterebbe di un modo efficace di rispettare e preservare il consenso degli utenti (44).

101.

Tenendo conto, da un lato, della natura diffusa del problema, in altri termini, del numero di utenti di Internet attualmente monitorati sulla base di un consenso che è illusorio e, dall’altra, dell’entità dell’interesse in gioco, la necessità di salvaguardia aggiuntiva diventa più impellente. L’attuazione del principio della PbD nelle applicazioni dei browser web potrebbe fare una differenza sostanziale nel consentire alle singole persone di mantenere il controllo sulle prassi di raccolta dati utilizzate a scopi pubblicitari.

102.

Per queste ragioni, il GEPD insiste presso la Commissione affinché essa consideri misure che richiedano impostazioni di riservatezza predefinite obbligatorie nei browser e la fornitura delle informazioni rilevanti.

103.

Il principio della PbD possiede un grande potenziale per migliorare la protezione della vita privata e dei dati personali delle singole persone, la progettazione e l’attuazione nell’ambito della legge dei principi di complementarità per assicurare ai consumatori che la fiducia nei TIC è necessaria. In questo contesto, il GEPD affronta il principio di responsabilità e il complemento di un quadro obbligatorio di violazione della sicurezza applicabile a settori diversi.

104.

Il documento del gruppo dell’articolo 29 intitolato «Future of Privacy» (45) raccomanda di includere il principio di responsabilità nella direttiva sulla protezione dei dati. Questo principio, che è riconosciuto in alcuni strumenti di protezione dei dati multinazionali (46), richiede che le organizzazioni attuino processi per essere conformi alle leggi esistenti e mettano a punto metodi per la valutazione e la dimostrazione della conformità con la legge e gli altri strumenti vincolanti.

105.

Il GEPD sostiene interamente la raccomandazione del gruppo dell’articolo 29. Considera che questo principio sarà estremamente rilevante per promuovere l’applicazione effettiva dei principi e degli obblighi di protezione dei dati. La responsabilità richiederà ai responsabili del trattamento di dati di dimostrare che sia stato messo in atto il meccanismo necessario per conformarsi con la legislazione di protezione de dati applicabile. Ciò dovrebbe contribuire all’attuazione efficace della riservatezza in base alla progettazione nelle tecnologie TIC come elemento particolarmente adatto per mostrare responsabilità.

106.

Per misurare e dimostrare la responsabilità, i responsabili del trattamento dei dati potrebbero utilizzare procedure interne e terze parti che eseguano audit o altri tipi di controlli e verifiche al termine dei quali conferire marchi o riconoscimenti. In questo contesto, il GEPD insiste presso la Commissione affinché consideri se, in aggiunta a un principio di responsabilità generale, possa essere utile richiedere per legge misure di responsabilità specifiche quali la necessità di produrre valutazioni dell’impatto sulla protezione della vita privata e dei dati personali e in che circostanze.

107.

Le modifiche dell’ultimo anno alla direttiva e-Privacy hanno introdotto un requisito per notificare le violazioni di dati alle persone vittima della violazione nonché alle autorità pertinenti. Una violazione dei dati è generalmente definita come qualsiasi violazione che conduca alla distruzione, perdita, divulgazione ecc. di dati personali trasmessi, archiviati o elaborati altrimenti in connessione con il servizio. La notifica alle singole persone sarà richiesta se la violazione dei dati può avere conseguenze negative sulla riservatezza o sui dati personali. In questo caso la violazione potrebbe condurre a usurpazione d’identità, umiliazione grave o danno alla reputazione. Sarà necessaria la notifica alle autorità pertinenti per ogni violazione di dati, indipendentemente dal fatto che sussista un rischio per le singole persone.

108.

Sfortunatamente tale obbligo si applica solo ai fornitori di servizi di comunicazioni elettroniche pubblicamente disponibili, quali le compagnie telefoniche, i provider di accesso a Internet, i provider di webmail, ecc. Il GEPD insiste presso la Commissione affinché avanzi proposte sulla violazione della sicurezza applicabile tra diversi settori. Per quando riguarda il contenuto di tale quadro, il GEPD considera che il quadro giuridico della violazione della sicurezza adottato nella direttiva e-Privacy raggiunga un equilibrio adeguato tra la protezione dei diritti delle singole persone, inclusi i loro diritti alla protezione della vita privata e dei dati personali, e l’obbligo imposto sui soggetti contemplati. Al contempo, si tratta di un quadro «con un vero mordente» dal momento che è sostenuto da significative disposizioni di carattere coercitivo, che forniscono alle autorità sufficienti poteri di indagine e sanzione in caso di non conformità.

109.

Di conseguenza, il GEPD insiste presso la Commissione affinché adotti una proposta legislativa per l’applicazione di questo quadro tra settori diversi, con gli adeguamenti del caso, se necessario. Inoltre, ciò assicurerebbe l’applicazione degli stessi standard e delle medesime procedure nei diversi settori.

110.

La direttiva e-Privacy rivista attribuisce alla Commissione il potere di adottare misure tecniche di attuazione, ad esempio, misure dettagliate sulla notifica della violazione della sicurezza, tramite una procedura di comitato (47). Tale conferimento di poteri è giustificato al fine di assicurare l’attuazione e l’applicazione uniforme del quadro giuridico di violazione della sicurezza. L’attuazione omogenea agisce contribuendo ad assicurare che le singole persone in ogni parte della Comunità fruiscano dello stesso livello elevato di protezione e che i soggetti contemplati non siano oberati con requisiti di notifica divergenti.

111.

La direttiva e-Privacy è stata adottata nel novembre 2009. Non sembra che vi sia alcuna ragione che giustifichi il posticipo dell’avvio dei lavori per l’adozione delle misure tecniche di attuazione. Il GEPD ha organizzato due seminari che mirano a condividere e acquisire esperienze sulla notifica della violazione dei dati. Il GEPD sarebbe lieto di condividere i risultati di questo esercizio ed è pronto a collaborare con la Commissione e le altre parti interessate nella definizione del quadro giuridico generale di violazione dei dati.

112.

Il GEPD insiste presso la Commissione affinché intraprenda i passi necessari, nell’ambito di un breve quadro temporale. Prima di adottare le misure tecniche di attuazione, la Commissione deve avviare un’ampia consultazione, durante la quale vengano consultati l’ENISA, il GEPD e il gruppo dell’articolo 29. Inoltre, la consultazione deve anche includere altre «parti interessate rilevanti», in particolare al fine di uniformare i migliori mezzi tecnici ed economici di attuazione disponibili.

113.

La fiducia, anziché la sua assenza, è stata identificata come una questione centrale per l’emergere e il buon esito della diffusione delle tecnologie informatiche e delle comunicazioni. Se le persone non hanno fiducia nelle TIC, queste tecnologie potrebbero fallire. La fiducia nei TIC dipende da diversi fattori; assicurare che tali tecnologie non erodano i diritti fondamentali delle singole persone in materia di protezione della vita privata e dei dati personali è uno dei fattori chiave.

114.

Al fine di rafforzare ulteriormente il quadro giuridico sulla protezione della vita privata e dei dati personali, i cui principi rimangono completamente validi nella società dell’informazione, il GEPD propone alla Commissione di integrare la riservatezza in base alla progettazione a diversi livelli di regolamentazione ed elaborazione di politiche.

115.

Il GEPD raccomanda alla Commissione di seguire quattro mezzi d’azione:

116.

In tre ambiti designati delle TIC, il GEPD raccomanda alla Commissione di valutare la necessità di avanzare proposte di attuazione del principio della riservatezza in base alla progettazione in modi specifici:

117.

Infine, il GEPD suggerisce alla Commissione di: