13.10.2017   

IT

Gazzetta ufficiale dell’Unione europea

C 345/138

Relatrice:

Laure BATUT

1.1.

Il CESE deplora vivamente il fatto che la sovrapposizione dei testi legislativi sulla tutela dei dati, la loro mole e la loro struttura intricata, i continui andirivieni tra un testo e l’altro necessari alla loro comprensione rendano improbabile che essi siano letti al di là di una cerchia di iniziati e che siano applicati; deplora inoltre il fatto che il loro valore aggiunto non sia accessibile al cittadino, idea che manca del tutto nel progetto di regolamento. Raccomanda la pubblicazione online di un opuscolo sintetico che li descriva per il grande pubblico e li renda accessibili a tutti.

1.2.

Il CESE sottolinea che, tra le opzioni proposte nella valutazione d’impatto, la Commissione ha scelto quella che rafforzerà «moderatamente» il rispetto della vita privata. È per garantire un equilibrio con gli interessi dell’industria? La Commissione non precisa quali elementi di un rafforzamento «significativo» del rispetto della vita privata avrebbero leso gli interessi dell’industria. Questa posizione tende a togliere valore al testo sin dalla sua concezione.

1.3.

Il CESE raccomanda che la Commissione:

2.1.

Le reti di comunicazioni elettroniche hanno conosciuto una notevole evoluzione rispetto al momento dell’entrata in vigore delle direttive 95/46 e 2002/58 (2) CE sulla tutela della vita privata nelle comunicazioni elettroniche.

2.2.

Il regolamento generale sulla protezione dei dati (RGPD) adottato nel 2016 [regolamento (UE) 2016/679] è divenuto la base di riferimento per agire e ha stabilito i principi fondamentali, anche per i dati giudiziari e penali. Ai sensi di tale regolamento, i dati personali possono essere raccolti solo nel rispetto di rigorose condizioni, per scopi legittimi e nel rispetto della riservatezza (articolo 5 dell’RGPD).

2.2.1.

La Commissione ha presentato, nell’ottobre 2016, una proposta di direttiva che stabilisce un codice europeo delle comunicazioni elettroniche (3) (un documento di 300 pagine), che non è stato ancora adottato, ma al quale essa rinvia per talune definizioni che non figurano nell’RGDP né nel testo in esame.

2.2.2.

Due proposte presentate nel gennaio 2017 precisano taluni aspetti di questa disciplina, facendo riferimento al regolamento generale sulla protezione dei dati; la prima è la proposta di regolamento concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione [COM(2017) 8 final, relatore: PEGADO LIZ], la seconda è appunto il testo all’esame [COM(2017) 10 final], relativo al rispetto della vita privata e alla tutela dei dati personali.

2.3.

I tre testi summenzionati saranno applicabili a decorrere dalla stessa data, il 25 maggio 2018, e mirano a un’armonizzazione dei diritti e delle procedure di controllo.

2.4.

Si noti che, per facilitare questo tipo di impostazione, si è deciso di ricorrere, per la tutela della vita privata, a un regolamento e non più a una direttiva.

3.1.

La società civile desidera capire se, nel mondo completamente digitale che si delinea, l’intervento dell’Unione europea apporti un valore aggiunto capace di garantire spazi in cui la vita privata possa svilupparsi senza timore.

3.2.

I dati generati in modo continuo rendono tutti gli utenti tracciabili e identificabili ovunque. Il trattamento dei dati effettuato in strutture fisiche, situate per la maggior parte al di fuori dell’Europa, suscita preoccupazioni.

3.3.

I Big Data (megadati) hanno assunto un valore commerciale: se fatti oggetto di trattamento intelligente, infatti, essi consentono di «profilare» e quindi «monetizzare» le persone fisiche e giuridiche, realizzando guadagni spesso all’insaputa degli utenti.

3.4.

Ma, soprattutto, è la comparsa nel settore del trattamento dei dati di nuovi attori, diversi dai fornitori di accesso a Internet, a imporre una revisione dei testi.

4.1.

Con il presente documento la Commissione intende creare una situazione di equilibrio tra i consumatori e l’industria:

4.2.

La proposta mira a dare attuazione all’RGPD, che è di applicazione generale tanto quanto la riservatezza dei dati privati e il diritto alla cancellazione, e riguarda l’aspetto specifico del rispetto della vita privata e della tutela dei dati personali nel settore delle telecomunicazioni; essa prevede l’introduzione di norme più rigorose in materia di protezione della vita privata nonché di controlli coordinati e di sanzioni.

4.3.

La proposta non stabilisce misure specifiche in merito all’esposizione dei dati personali che avviene per opera degli utenti stessi, ma conferma sin dai primi articoli (articolo 5) il principio della riservatezza delle comunicazioni elettroniche.

4.4.

I fornitori possono trattare il contenuto delle comunicazioni elettroniche:

4.5.

Essi hanno l’obbligo di cancellare o rendere anonimi («anonimizzare») i contenuti dopo averli ricevuti dai destinatari.

4.6.

Ai sensi dell’articolo 4, paragrafo 11, dell’RGPD, il «consenso dell’interessato» è «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

4.7.

La proposta in esame mantiene il requisito del consenso esplicitamente manifestato, definito nell’RGPD, imponendo l’onere della prova a carico degli operatori.

4.8.

Il «trattamento» si basa su tale consenso. «Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali» (articolo 7, paragrafo 1, dell’RGPD).

4.9.

Alcune limitazioni (degli obblighi e dei diritti) alla riservatezza potrebbero essere introdotte dal diritto dell’UE o da quello nazionale per salvaguardare interessi pubblici o una funzione d’ispezione.

4.10.

Le persone fisiche devono aver dato il loro consenso perché i loro dati figurino in un elenco elettronico pubblico, con la possibilità di accertare e rettificare i dati che li riguardano (articolo 15).

4.11.

Un diritto di obiezione consentirà a ogni utente di opporsi all’utilizzo dei propri dati comunicati a un terzo (per esempio, un commerciante) e, successivamente, ogniqualvolta sia inviato un messaggio (articolo 16). Le nuove norme permetteranno agli utenti di controllare meglio i loro parametri (cookie, identificativi), e le comunicazioni indesiderate (spam, messaggi, SMS, chiamate) potranno essere bloccate in caso di mancato consenso dell’utente.

4.12.

Per quanto riguarda l’identificazione della linea chiamante e i blocchi delle chiamate in entrata indesiderate (articoli 12 e 14), il regolamento precisa che tali diritti valgono anche per le persone giuridiche.

4.13.

La strutturazione di un sistema di controllo è conforme all’RGPD (capi VI sulle autorità di controllo indipendenti e VII sulla cooperazione tra le autorità di controllo).

4.13.1.

Spetterà agli Stati membri e alle rispettive autorità nazionali preposte alla protezione dei dati vigilare sul rispetto delle norme in materia di riservatezza. Le altre autorità di controllo interessate possono, nel quadro di un’assistenza reciproca, preparare delle obiezioni che possono essere sottoposte all’autorità nazionale di controllo capofila. Esse cooperano tra loro e con la Commissione nel quadro di un meccanismo di coerenza (articolo 63 dell’RGPD).

4.13.2.

Il comitato europeo per la protezione dei dati (CEPD) è incaricato di garantire, da parte sua, l’applicazione coerente del regolamento in esame (articoli 68 e 70 dell’RGPD).

4.14.

Mezzi di ricorso sono esperibili da parte delle persone fisiche e giuridiche utenti finali per far valere i loro interessi lesi da violazioni, con la possibilità di ottenere un risarcimento del danno subito.

4.15.

Gli importi delle sanzioni amministrative pecuniarie sono fissati a un livello tale da essere dissuasivi, potendo giungere, per gli autori della violazione, fino a dieci milioni di EUR e, per le imprese, fino al 2 % del fatturato mondiale annuo dell’esercizio precedente, se superiore a tale importo (articolo 23); gli Stati membri stabiliscono le sanzioni nel caso in cui sanzioni amministrative pecuniarie non siano previste nel loro ordinamento e ne informano la Commissione.

4.16.

Il nuovo testo relativo al rispetto della vita privata e all’utilizzo dei dati personali si applicherà a decorrere dal 25 maggio 2018, la stessa data, quindi, da cui si applicherà l’RGPD del 2016; e sempre a partire dalla stessa data saranno applicabili, se saranno stati adottati, il regolamento concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi dell’Unione e la direttiva che istituisce il codice europeo delle comunicazioni elettroniche (rifusione) [COM(2016) 590 final].

4.17.

Ambito di applicazione: la lex specialis che attua l’RGPD

—

Ambito soggettivo: gli attori

—

Ambito oggettivo: i dati

—

Ambito geografico: dove?

4.18.

Gli obiettivi dell’UE: il mercato unico digitale

5.1.

Il CESE accoglie con favore l’introduzione simultanea in tutta l’UE di un insieme coerente di norme dirette a tutelare i diritti delle persone fisiche e giuridiche legati all’uso dei dati digitali per mezzo di comunicazioni elettroniche.

5.1.1.

Apprezza il fatto che l’UE svolga il suo ruolo di difensore dei diritti dei cittadini e dei consumatori.

5.1.2.

Sottolinea che, se da un lato si punta ad armonizzare, dall’altro l’interpretazione di numerosi concetti spetta agli Stati membri, il che trasforma il regolamento in una sorta di direttiva, che lascia ampio spazio alla commercializzazione dei dati privati. In particolare il settore della salute è una porta aperta alla raccolta di ingenti quantità di dati personali.

5.1.3.

Gli articoli 11, paragrafo 1, 13, paragrafo 2, 16, paragrafi 4 e 5, e 24 sono piuttosto disposizioni che si potrebbero definire misure di «recepimento» e che sarebbero appropriate per una direttiva e non per un regolamento. Nell’intento di migliorare la qualità dei servizi, si finisce per concedere agli operatori un margine discrezionale troppo ampio (articoli 5 e 6). Questa proposta di regolamento dovrebbe essere parte integrante della proposta di direttiva nota come «codice europeo delle comunicazioni elettroniche» [COM(2016) 590 final].

5.1.4.

Il CESE deplora vivamente che la sovrapposizione di tali testi, la loro mole e la loro struttura intricata rendano improbabile che essi siano letti al di là di una cerchia di iniziati. Infatti, sono necessari continui andirivieni tra un testo e l’altro. Inoltre, il loro valore aggiunto non è percepibile dai cittadini. Questa difficoltà di lettura e la complessità della proposta sono contrarie allo spirito del programma di controllo dell’adeguatezza e dell’efficacia della regolamentazione (REFIT) e all’obiettivo «legiferare meglio», ne renderanno difficile l’interpretazione e apriranno delle falle nei sistemi di protezione.

5.1.5.

A titolo d’esempio, la proposta di regolamento non contiene la definizione del concetto di «operatore», per il quale quindi occorre far riferimento al progetto di codice europeo delle comunicazioni elettroniche (4), che non è ancora entrato in vigore e che modificherà le norme del settore nell’ambito del mercato unico digitale, ovvero far riferimento alla direttiva quadro 2002/21/CE, alla direttiva «autorizzazioni» 2002/20/CE, alla direttiva «servizio universale» 2002/22/CE, alla direttiva «accesso» 2002/19/CE e alle rispettive modifiche, al regolamento (CE) n. 1211/2009 che istituisce il BEREC, alla decisione «spettro radio» 676/2002/CE, alla decisione 2002/622/CE che istituisce un gruppo «Politica dello spettro radio» e alla decisione 243/2012/UE che istituisce un programma pluriennale relativo alla politica in materia di spettro radio. Il riferimento fondamentale resta ovviamente l’RGPD (cfr. il punto 2.2), che la proposta in esame si propone di completare e le è pertanto complementare.

5.2.

Il CESE sottolinea in particolare il contenuto dell’articolo 8 relativo alla tutela delle informazioni conservate nelle apparecchiature terminali e le eccezioni possibili, articolo fondamentale in quanto lascia alla società dell’informazione delle possibilità di accedere ai dati personali. Esso sottolinea anche quello dell’articolo 12, relativo alla restrizione dell’identificazione delle linee chiamante e collegata, articoli poco accessibili a un non iniziato.

5.2.1.

La direttiva del 1995 (articolo 2) definisce i «dati personali» come «qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata)». Il regolamento proposto amplia l’ambito di applicazione della protezione dei dati ai metadati e si applica adesso sia alle persone fisiche che a quelle giuridiche. Bisogna sottolineare ancora una volta che la proposta ha un duplice obiettivo, che è, da un parte, proteggere i dati personali e, dall’altra, assicurare la libera circolazione dei dati delle comunicazioni elettroniche e dei servizi di comunicazione elettronica nell’UE (articolo 1).

5.2.2.

Il CESE sottolinea che la volontà di proteggere i dati delle persone giuridiche (articolo 1, paragrafo 2) entrerà in conflitto con altri testi dai quali essa non emerge, vale a dire testi che non stabiliscono chiaramente che il loro campo d’applicazione include tali dati (è il caso dell’RGPD e della proposta di regolamento sul trattamento dei dati da parte delle istituzioni europee).

5.3.

Il CESE si chiede se il vero obiettivo della proposta non sia quello di mettere maggiormente l’accento sul suo articolo 1, paragrafo 2, vale a dire sulla garanzia della «libera circolazione dei dati delle comunicazioni elettroniche e dei servizi di comunicazione elettronica nell’Unione, i quali non sono limitati né proibiti per motivi connessi al rispetto della vita privata e delle comunicazioni delle persone fisiche e giuridiche», piuttosto che di garantire realmente quanto proclama il suo articolo 1, paragrafo 1, ossia «il diritto al rispetto della vita privata e delle comunicazioni nonché la tutela delle persone fisiche in merito al trattamento dei dati personali».

5.4.

Tutto si fonda sulla manifestazione del consenso della persona, sia essa fisica o giuridica. Di conseguenza, secondo il CESE, gli utenti, oltre a dover essere informati e formati, devono restare prudenti, poiché, una volta dato il loro consenso, il fornitore potrà trattare ulteriormente i contenuti e i metadati per creare le condizioni per quante più attività e quanti più guadagni possibile. Quanti sanno, prima di accettarlo, che un cookie è un tracciatore? L’educazione degli utenti ad avvalersi dei loro diritti, come l’anonimato o la cifratura, dovrebbe essere una delle priorità legate a questo regolamento.

6.1.

I dati personali dovrebbero essere raccolti esclusivamente da organismi che rispettino essi stessi condizioni molto rigorose e si prefiggano obiettivi noti e legittimi (RGDP).

6.2.

Ancora una volta il Comitato «si rammarica per le eccezioni e limitazioni troppo numerose che incidono sui principi enunciati del diritto alla protezione dei dati personali (5)». È l’equilibrio tra libertà e sicurezza che dovrebbe continuare a essere il marchio dell’Unione europea, invece dell’equilibrio tra diritti fondamentali della persona e interessi dell’industria. Il gruppo di lavoro istituito ai sensi dell’articolo 29 della direttiva 95/46/CE è stato severo nella sua valutazione della proposta di regolamento (WP247 del 4.4.2017, parere 1/2017, punto 17), affermando che essa riduce il livello di tutela definito nell’RGPD, in particolare in relazione all’ubicazione dell’apparecchiatura terminale e alla mancanza di limitazione del campo dei dati che possono essere raccolti nonché per il fatto che non istituisce per definizione una tutela della vita privata (punto 19).

6.3.

I dati sono come un prolungamento della persona, un’identità ombra, una «Shadow-ID». I dati appartengono alla persona che li genera, ma, dopo il loro trattamento, essi sfuggono alla sua influenza. Per quanto riguarda la conservazione e il trasferimento dei dati, la responsabilità resta in capo a ciascuno Stato membro e non vi è armonizzazione in ragione delle possibili limitazioni dei diritti cui il testo proposto apre la porta. Il Comitato sottolinea il rischio di disparità legato al fatto che la limitazione dei diritti sia interamente lasciata alla discrezione degli Stati membri.

6.4.

Vi è una questione che si pone in modo particolare per le persone che lavorano in un’impresa: a chi appartengono i dati che esse generano lavorando, e in che modo vengono protetti?

6.5.

L’architettura del controllo non è molto chiara (6); malgrado la supervisione da parte del CEPD: le garanzie contro gli atti arbitrari non sembrano sufficienti, e non è stato valutato il tempo necessario affinché le procedure sfocino in una sanzione.

6.6.

Il CESE è favorevole alla creazione di un portale europeo, in cui siano riuniti e aggiornati tutti gli strumenti europei e nazionali, tutti i diritti e i mezzi di ricorso e tutta la giurisprudenza, oltre a elementi pratici, per aiutare i cittadini e i consumatori a orientarsi nel labirinto delle norme e delle pratiche ed essere così messi in condizione di esercitare i loro diritti. Questo portale dovrebbe ispirarsi almeno alle prescrizioni della direttiva (UE) 2016/2102, del 26 ottobre 2016, relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici, e ai principi di cui ai considerando 12, 15 e 21 della proposta di direttiva detta Atto europeo sull’accessibilità [2015/0278 (COD)] e offrire contenuti accessibili e comprensibili a tutti gli utenti finali. Il CESE sarebbe pronto a partecipare alle fasi di definizione di tale portale.

6.7.

Manca, nell’articolo 22, un riferimento alle «azioni collettive», come il CESE ha già sottolineato nel suo parere sul codice europeo delle comunicazioni elettroniche.

6.8.

La limitazione del campo di applicazione (articolo 2, paragrafo 2), l’estensione del potere di trattamento dei dati senza il consenso del titolare (articolo 6, paragrafi 1 e 2), e l’improbabile requisito del consenso di tutti gli utenti interessati (articolo 6, paragrafo 3, lettera b), e articolo 8, paragrafi 1, 2 e 3), le limitazioni ai diritti che possono essere stabilite dagli Stati membri, laddove ritengano che una siffatta limitazione costituisca «una misura necessaria, appropriata e proporzionata», sono norme il cui contenuto è suscettibile di tante interpretazioni da risultare incompatibile con una vera tutela della vita privata. Un’attenzione particolare inoltre deve essere riservata alla tutela dei dati relativi ai minori.

6.9.

Il CESE si rallegra del diritto di controllo di cui all’articolo 12, ma nota la sua formulazione particolarmente ermetica, che sembra privilegiare l’effettuazione di chiamate «non identificate» o «nascoste», come se l’anonimato fosse un diritto fondamentale, mentre il principio dovrebbe essere quello dell’identificazione delle chiamate.

6.10.

Le comunicazioni indesiderate (articolo 16) e la commercializzazione diretta sono già soggette alla direttiva sulle «pratiche commerciali sleali» (7). Il regime standard dovrebbe essere l’opt-in (accettazione espressa) e non l’opt-out (opposizione).

6.11.

La valutazione della Commissione è prevista ogni tre anni, periodo che nel settore digitale è troppo lungo. Dopo due valutazioni, infatti, il mondo del digitale sarà completamente cambiato. Tuttavia, la delega (articolo 25), che potrà essere estesa, dovrebbe avere una durata determinata, eventualmente rinnovabile.

6.12.

La legislazione deve salvaguardare i diritti degli utenti (articolo 3 del TUE), garantendo al tempo stesso la stabilità giuridica necessaria all’attività commerciale. Il CESE si rammarica del fatto che la circolazione dei dati «da macchina a macchina» (MM) non figuri nella proposta, e che in proposito sia necessario far riferimento al codice europeo delle comunicazioni elettroniche (articoli 2 e 4 della relativa proposta di direttiva).

6.12.1.

L’Internet degli oggetti (8) porterà dai Big Data (megadati) agli «Huge Data» («dati enormi») e poi a un ambiente «All Data» (un ambiente in cui «Tutto è dati»). Si tratta di una chiave per comprendere le future ondate di innovazione. E le macchine, grandi e piccole, comunicano tra loro e veicolano dati privati tra di loro (il vostro orologio registra i vostri battiti cardiaci che invia al computer del vostro medico ecc.). Numerosi attori che operano nel digitale hanno lanciato la loro piattaforma riservata agli oggetti connessi: Amazon, Microsoft, Intel o, in Francia, Orange e La Poste.

6.12.2.

L’Internet degli oggetti del quotidiano può facilmente essere oggetto di intrusioni maligne, la quantità di dati personali che può essere raccolta a distanza è in aumento (dati di geolocalizzazione, dati sanitari, flussi video e audio). Le falle nella protezione dei dati interessano, tra l’altro, le compagnie di assicurazione, che iniziano a proporre ai loro clienti di dotarsi di oggetti connessi e di responsabilizzare i loro comportamenti.

6.13.

Molti giganti di Internet cercano di far evolvere la loro applicazione originaria in una piattaforma, per cui occorre distinguere tra l’applicazione Facebook e la piattaforma Facebook, che permette agli sviluppatori di concepire applicazioni accessibili dal profilo degli utenti. Amazon, dal canto suo, nata come applicazione web specializzata nella vendita online, è diventata una piattaforma che permette a terzi, dai privati ai grandi gruppi, di commercializzare i loro prodotti beneficiando delle risorse di Amazon, vale a dire la reputazione, la logistica ecc. E tutto ciò passa attraverso il trasferimento di dati personali.

6.14.

Nel settore dell’economia collaborativa si assiste al proliferare delle piattaforme, che mettono in contatto, «segnatamente attraverso mezzi elettronici, una pluralità di proponenti di beni o servizi con una pluralità di utenti (9)». Se tali piattaforme sono ambite per l’attività e i posti di lavoro che esse generano, tuttavia il CESE si chiede come i trasferimenti di dati da esse indotti possano essere controllati, in applicazione sia dell’RGPD che del regolamento in esame.