Scarica il PDF
CAMERA DEI DEPUTATI
Martedì 22 maggio 2012
654.
XVI LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Commissioni Riunite (II e IX)
COMUNICATO
Pag. 26

ATTI DEL GOVERNO

  Martedì 22 maggio 2012. — Presidenza del vicepresidente della IX Commissione Silvia VELO. — Interviene il sottosegretario di Stato per lo sviluppo economico Massimo Vari.

  La seduta comincia alle 14.40.

Schema di decreto legislativo recante attuazione della direttiva 2009/136/CE recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori.
Atto n. 462.
(Esame, ai sensi dell'articolo 143, comma 4, del regolamento, e rinvio).

  Le Commissioni iniziano l'esame dello schema di decreto legislativo all'ordine del giorno.

  Silvia VELO, presidente, ricorda che il termine per l'espressione del parere è fissato al 26 maggio 2012 e che la Commissione Bilancio ha già espresso i propri rilievi in data 8 maggio 2012.

  Deborah BERGAMINI (PdL), relatore per la IX Commissione, riferisce che lo schema di decreto legislativo in esame è volto a dare attuazione all'articolo 2 della Direttiva 2009/136/CE. Evidenzia che la predetta direttiva modifica il quadro normativo comunitario dettato dalla Direttiva 2002/58/CE, in materia di trattamento dei dati personali nel settore delle comunicazioni elettroniche – attuato nel nostro ordinamento con il cosiddetto Codice della privacy di cui al decreto legislativo n. 196 del 2003 – prevedendo una maggior tutela dei consumatori contro le violazioni dei dati personali e lo spam nel settore delle comunicazioni elettroniche. Osserva che il presente schema di decreto legislativo adegua Pag. 27quindi l'ordinamento interno a quello comunitario mediante modifiche ed integrazioni al citato Codice della privacy, prevedendo sia un rafforzamento della disciplina a tutela dei dati personali degli utenti sia una maggiore responsabilizzazione in tal senso dei fornitori dei servizi di telecomunicazione e accesso ad Internet. Sullo schema in esame, rileva, il 29 marzo 2012 il Garante per la protezione dei dati personali ha espresso il proprio parere favorevole con alcune osservazioni e raccomandazioni che, come riferisce la relazione del Governo, allegata al presente schema di decreto, sono state in gran parte recepite. Fa notare che non risulta invece recepita la raccomandazione del Garante di delineare con chiarezza il quadro giuridico riferibile alla figura dell'abbonato-persona giuridica: infatti, sia la normativa europea sia quella nazionale non escludono le persone giuridiche dalla nozione di «abbonato ad un servizio di comunicazione elettronica», con il conseguente diritto ad usufruire delle garanzie sul trattamento dei dati personali offerto dal Codice. Rileva che tale diritto, tuttavia, non emerge con chiarezza dall'attuale formulazione del Codice, dal momento che la tutela amministrativa e giudiziaria, ai sensi dell'articolo 141 del Codice stesso, è assicurata al solo interessato-persona fisica. Inoltre, va ricordato come il decreto-legge n. 201 del 2011, escludendo le imprese da una serie di adempimenti amministrativi in materia di privacy, abbia nel contempo privato le persone giuridiche delle garanzie offerte dal Codice. In ordine al contenuto dello schema di decreto legislativo in esame, ricorda che lo schema consta di tre articoli. Riferisce che l'articolo 1 è composto da 13 commi; il comma 1 novella l'articolo 4 del Codice, adeguando le definizioni di «chiamata telefonica», di «reti di comunicazione elettronica» e di «rete pubblica di comunicazioni» a quelle attualmente adottate nell'ordinamento comunitario e contenute nella versione consolidata della direttiva 2002/58/CE, modificata dall'articolo 2 della direttiva 2009/136/CE. Inoltre, sottolinea, è aggiunta la definizione di «violazione di dati personali», funzionale al rafforzamento del diritto alla privacy degli utenti delle reti che il provvedimento intende perseguire. Infine, sempre in tema di definizioni, osserva che il successivo comma 12 sostituisce nell'intero Codice della privacy la definizione di «abbonato» con quella di «contraente». A questo riguardo, reputa opportuno puntualizzare che tale sostituzione dovrebbe essere effettuata ovunque ricorra nel codice tale espressione. Il comma 2, rileva, modifica l'articolo 32 del Codice in materia di titolarità ed obblighi in tema di sicurezza dei dati: innanzitutto, risulta modificata la rubrica dell'articolo 32 che viene espressamente riferita «ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico», anziché a «particolari titolari». In secondo luogo, osserva, vengono estesi anche agli altri soggetti cui sia affidata l'erogazione del servizio gli obblighi di adozione delle adeguate misure di sicurezza dei dati personali previste dall'articolo 31, oltre a quelli di comunicazione previsti dal nuovo articolo 32-bis del Codice, introdotto dal presente provvedimento. Infine, evidenzia, dopo il comma 1 dell'articolo 32, sono aggiunti due commi; il primo prevede che, da parte dei fornitori dei servizi di comunicazione elettronica – fermi restando gli altri obblighi di sicurezza – sia garantito l'accesso ai dati del solo personale autorizzato per fini legalmente autorizzati; il secondo stabilisce che le misure di sicurezza devono garantire che i dati relativi al traffico e all'ubicazione nonché gli altri dati archiviati o trasmessi siano protetti da distruzione e perdita, anche accidentali, da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti nonché che sia assicurata una politica di sicurezza. Riferisce che il comma 3 dello schema di decreto aggiunge al Codice un articolo 32-bis, che detta una serie di adempimenti a cui i fornitori dei servizi di comunicazione elettronica sono obbligatoriamente tenuti in caso di violazione di dati personali. In particolare, rileva, si prevede che, in caso di violazione dei dati personali, il fornitore di servizi di comunicazione elettronica Pag. 28accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante della privacy: quando la violazione dei dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi, senza ritardo, l'avvenuta violazione. Tale comunicazione, osserva, non è dovuta, se il fornitore dimostra al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintellegibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. Fa notare che ove il fornitore non vi abbia provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione. Precisa che la comunicazione al Garante della privacy contiene, inoltre, le conseguenze della violazione nonché le misure apprestate dal fornitore per porvi rimedio. Infine, rileva, viene previsto che lo stesso Garante possa emanare istruzioni sugli obblighi di comunicazione delle violazioni da parte del fornitore e che quest'ultimo debba tenere un aggiornato inventario delle violazioni dei dati personali, per finalità di controllo da parte dello stesso Garante. Osserva che il comma 4 integra la formulazione dell'articolo 121 del Codice, estendendo l'ambito di applicazione della disciplina del titolo X (Comunicazioni elettroniche), che attualmente si riferisce al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, anche alle reti che supportano i dispositivi di raccolta e identificazione dei dati. Rileva che il comma 5 modifica la disciplina relativa all'uso indesiderato dei cosiddetti cookies, novellando l'articolo 122 del Codice, relativo all'utilizzo delle informazioni raccolte nei riguardi dell'abbonato o dell'utente. Attualmente, evidenzia, il comma 1 dell'articolo 122 vieta l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente. Fa notare che il successivo comma 2 del testo vigente dell'articolo 122 rinvia inoltre al codice di deontologia ai fini dell'individuazione dei presupposti e dei limiti entro i quali è consentito derogare a tale divieto per determinati scopi legittimi relativi alla memorizzazione tecnica per il tempo strettamente necessario alla trasmissione della comunicazione o a fornire uno specifico servizio richiesto dall'abbonato o dall'utente, sempre che questi ultimi abbiano espresso il proprio consenso sulla base di una previa informativa ai sensi dell'articolo 13 che indichi analiticamente, in modo chiaro e preciso, le finalità e la durata del trattamento. Sottolinea che tale disciplina, fermo restando il generale divieto di cui si è detto, previsto ora al comma 2-bis, anziché al comma 1, viene modificata, prevedendo un diverso regime delle deroghe al predetto divieto; infatti, a tal fine non si fa più rinvio al codice di deontologia, ma, al comma 1, si precisa che l'accesso alle suddette informazioni è consentito solo con il preventivo consenso dell'interessato, da esprimere oralmente o per iscritto, ai sensi dell'articolo 13 del Codice, salvo che per le semplici archiviazioni tecniche di dati e le trasmissioni effettuate a seguito di un servizio richiesto dallo stesso interessato al fornitore. Al riguardo, reputa che si potrebbe precisare che, ai fini determinazione delle modalità di manifestazione del preventivo consenso dell'interessato, si debba tenere conto anche delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale delle categorie economiche coinvolte. Osserva inoltre, che al successivo comma 2 si puntualizza che, per l'espressione del consenso, possono essere utilizzate specifiche configurazioni di programmi o dispositivi di facile utilizzabilità da parte dell'utente o contraente; al riguardo, potrebbe essere opportuno specificare espressamente le modalità tecnologiche necessarie per consentire all'interessato di esprimere il proprio consenso. In particolare, evidenzia, si potrebbe fare riferimento ai programmi informatici o Pag. 29dispositivi riconosciuti dai principali enti standardizzatori o dai codici di autoregolamentazione previsti dalle associazioni maggiormente rappresentative a livello nazionale delle categorie economiche interessate. Riferisce che il comma 6 novella il comma 3 dell'articolo 123 del Codice, precisando che il consenso del contraente o utente al trattamento temporaneo dei suoi dati da parte del fornitore del servizio di comunicazione elettronica, a fini commerciali o per la fornitura di servizi a valore aggiunto, deve essere manifestato preliminarmente; il trattamento, quindi, potrà avvenire solo dopo il consenso dell'avente diritto.

  Anna ROSSOMANDO (PD), relatore per la II Commissione, nell'illustrare le disposizioni del provvedimento che rientrano negli ambiti di competenza della Commissione giustizia, segnala, in primo luogo, il comma 7 dell'articolo 1, che introduce talune modifiche ai commi 1 e 5 dell'articolo 130 del Codice in materia di comunicazioni indesiderate (articolo 2, par. 7, della direttiva).
  Il citato comma 1 consente solo con il consenso dell'interessato l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. In particolare, è premesso a tale comma un periodo che fa salva la disciplina degli articoli 8 e 21 del decreto legislativo n. 70 del 2003 ovvero l'adempimento degli obblighi di specifica informativa per le informazioni commerciali e l'applicazione delle relative sanzioni (sanzione amministrativa pecuniaria da 103 euro a 10.000 euro, limiti raddoppiabili in caso di particolare gravità o di recidiva).
  Un'ulteriore modifica riguarda il comma 5 che, nell'attuale formulazione, vieta in ogni caso l'invio di comunicazioni per le finalità commerciali o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di accesso (cancellazione, rettifica, ecc.) ai propri dati personali.
  Nel comma 5 è inserito il richiamo al citato articolo 8 del decreto legislativo n. 70 del 2003 (quindi agli obblighi di informativa specifica) nonché il divieto delle comunicazioni commerciali con cui si invita l'utente o il contraente a visitare siti web che non rispettano i predetti obblighi di informativa.
  Il comma 8 dell'articolo 1 aggiunge al Codice della privacy l'articolo 132-bis, rubricato «Procedure istituite dai fornitori» con cui si prevede l'obbligo per questi ultimi di regolamentare la prassi interna per adempiere alle richieste degli utenti di accesso ai propri dati personali. La norma stabilisce, altresì, obblighi informativi nei confronti del Garante della privacy, che può richiedere ai fornitori notizie sulle procedure istituite, sul numero di richieste ricevute, sulle risposte fornite (articolo 2, par. 9, della direttiva)
  Un'ulteriore disposizione (articolo 162-ter) è aggiunta al Codice dal comma 9.
  La norma detta il quadro sanzionatorio per le violazioni dell'articolo 32-bis del Codice (aggiunto dal comma 3 dell'articolo 1) ovvero per le infrazioni degli obblighi dei fornitori di servizi di comunicazione elettronica a seguito di una violazione di dati personali (articolo 2, par. 10, della direttiva). Si prevedono le seguenti sanzioni amministrative pecuniarie a carico dei fornitori: da 25.000 a 150.000 euro per la mancata tempestiva comunicazione al Garante della violazione di dati personali (comma 1); da 150 a 1.000 euro per ogni omissione o ritardata comunicazione della violazione agli interessati (contraente a altra persona); dal riferimento alla non applicazione dell'articolo 8 della legge n. 689 del 1981 consegue l'impossibilità di triplicare la sanzione in caso di pluralità di violazioni. Un ulteriore limite quantitativo della sanzione deriva dall'impossibilità per quest'ultima di superare il 5 per cento del volume d'affari del fornitore (riferito all'ultimo esercizio chiuso prima della notifica della contestazione della violazione). All'applicabilità della disciplina Pag. 30dell'articolo 164-bis del Codice consegue, di converso, il possibile aumento fino al quadruplo delle sanzioni quando queste possono risultare inefficaci in ragione delle condizioni economiche del contravventore (commi 2 e 3); da 20.000 a 120.000 euro per la mancata tenuta dell'inventario delle violazioni di dati personali.
  Le sanzioni indicate sono irrogabili anche ai soggetti cui il fornitore abbia affidato l'erogazione dei servizi ove questi non abbiano tempestivamente comunicato al fornitore le informazioni necessarie per adempiere agli obblighi di comunicazione all'interessato previsti dal nuovo articolo 32-bis a seguito dell'avvenuta violazione dei suoi dati personali.
  Il comma 10 integra il contenuto del comma 1 dell'articolo 164-bis del Codice prevedendo ipotesi di minore gravità anche per gli illeciti puniti dal nuovo articolo 162-ter (ovvero le violazioni di dati personali compiute dai fornitori dei servizi di comunicazione).
  Nelle ipotesi meno gravi, avuto anche riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi delle sanzioni amministrative pecuniarie stabilite dall'articolo 162-ter sono, quindi, applicati in misura pari a due quinti.
  Il comma 11 aggiorna l'articolo 168 del Codice (Falsità nelle dichiarazioni e notificazioni al Garante) in relazione al nuovo articolo 32-bis prevedendo come reato le false dichiarazioni o attestazioni di notizie o circostanze (o produzione di atti o documenti falsi): nella comunicazione al Garante della privacy dell'avvenuta violazione di dati personali (articolo 32-bis, comma 1) da parte del fornitore dei servizi di comunicazione elettronica; nella comunicazione al fornitore, ai fini degli adempimenti conseguenti alla violazione di dati personali, da parte del soggetto cui il fornitore stesso abbia affidato l'erogazione del servizio (articolo 32-bis, comma 8).
  Entrambi gli illeciti sono puniti con la reclusione da sei mesi a tre anni.
  Ai sensi del successivo comma 12, alla definizione di «abbonato» è sostituita quella di «contraente», ritenuta maggiormente aderente alla natura contrattuale del rapporto col fornitore del servizio di comunicazione elettronica.
  Attualmente, l'articolo 4, comma 2, lettera f) del Codice definisce «abbonato», qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate.
  Infine, gli articoli 2 e 3 dello schema di decreto sono relativi, rispettivamente, alla disposizione finanziaria e all'entrata in vigore del provvedimento.

  Il sottosegretario Massimo VARI si riserva di esprimere l'orientamento del Governo in esito alla presentazione della proposta di parere dei relatori.

  Silvia VELO, presidente, avverte che sono pervenute da parte dei gruppi richieste di rinviare il seguito dell'esame del provvedimento alla seduta di domani. Fa notare tuttavia che, considerati i tempi stretti richiesti per l'espressione del parere, non si potrà ulteriormente rinviare l'esame del provvedimento che dovrà inderogabilmente concludersi nella giornata di domani.

  Carlo MONAI (IdV) reputa particolarmente delicato il tema oggetto del provvedimento in esame, in quanto interessa milioni di cittadini in relazione alla tutela della privacy nell'utilizzo dei mezzi informatici. Soffermandosi in particolare sulle problematiche relative ai cookies, osserva che gli utenti della rete, dopo avere acquistato specifici servizi online, iniziano a ricevere nella propria casella di posta elettronica numerosi messaggi promozionali relativi a servizi analoghi a quello acquistato e ciò rappresenta una indebita violazione della privacy. Sottolinea che occorre tener conto in primo luogo, delle esigenze di tutela dei contraenti deboli. Invita al riguardo i colleghi a prestare attenzione alla valenza del nuovo termine utilizzato, ovvero contraente in luogo di Pag. 31abbonato, che sembra voler assegnare alla figura del contraente un ruolo paritario rispetto a quello del fornitore del servizio. Il che non è assolutamente confermato dalla prassi e dall'esperienza dei servizi forniti su internet rispetto ai quali il consenso prestato dall'utente è spesso carpito attraverso l'utilizzo di metodologie che non garantiscono la consapevolezza dell'adesione dell'utente alle condizioni di acquisizione dei servizi offerti online. Precisa l'esigenza che a tutela della privacy nei servizi acquisiti via internet non debba sussistere alcun automatismo nella delicata fase in cui l'utente presta il consenso alla trasmissione dei propri dati al fornitore del servizio.

  Manlio CONTENTO (PdL) ritiene che il principale elemento di perplessità in ordine al provvedimento in esame sia rappresentato dalla manifesta sproporzione sanzionatoria, evidenziando come le sanzioni siano estremamente tenui quando il danno è subito dall'utente. Ricorda quindi come la ratio della normativa in esame dovrebbe essere quella di tutelare in via preminente il consumatore.

  Daniele TOTO (FLpTP) ritiene che l'elemento di maggiore perplessità opportuno ascoltare l'orientamento dei relatori in ordine ai rilievi critici testé evidenziati dai colleghi.

  Deborah BERGAMINI (PdL), relatore per la IX Commissione, assicura, anche a nome del relatore per la II Commissione, onorevole Rossomando, che gli interventi svolti nel corso del dibattito saranno attentamente valutati ed i rilievi avanzati saranno recepiti nella proposta di parere dei relatori.

  Silvia VELO, presidente, rinvia il seguito dell'esame ad altra seduta.

  La seduta termina alle 15.15.