Giovanni Guerra

Data protection, l'Europa corre
ma il resto del mondo non ha fretta

Il Vecchio Continente sta elaborando norme efficaci e avanzate in materia di sicurezza e riservatezza: aziende e utenti che operano al suo interno sono tenuti a rispettare disposizioni rigorose. Non facilissimi sono in questo campo i rapporti con gli Stati Uniti, più favorevoli a una logica di mercato che privilegia iniziative di autoregolamentazione e misure di difesa quasi soltanto tecnologiche.

1.
La rapida espansione in Europa delle reti elettroniche ha portato alla ribalta la materia della sicurezza e della riservatezza delle comunicazioni, il cui studio rappresenta una sfida per gli operatori del diritto, chiamati a trovare risposte in relazione a nuovi e complessi fenomeni giuridici utilizzando categorie o strumenti tradizionali che non riescono a tenere il passo con il progresso tecnico. Emerge inoltre, proprio come esigenza prioritaria del popolo della rete, il bisogno sia di "addomesticare", in termini chiaramente di conoscenza e fiducia, i nuovi strumenti offerti dalle tecnologie dell'informazione, sia di avere maggiori garanzie per la protezione delle proprie comunicazioni e dei propri dati (basti pensare, ad esempio, ai problemi di sicurezza connessi alle transazioni via Internet e al cosiddetto trading on line, ossia alla possibilità di operare direttamente in Borsa).
La prima affermazione in ambito internazionale dei principi in tema di sicurezza e riservatezza nelle comunicazioni, sia pure con specifico riguardo al rispetto della libertà di corrispondenza, si può far risalire alla Convenzione europea del 1950 per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (art 8)1. Tali principi sono stati di recente espressamente sanciti nella Carta dei diritti fondamentali dell'Unione europea, proclamata dal Consiglio europeo di Nizza del 7 dicembre 2000, con riferimento al diritto di ogni individuo al rispetto delle sue comunicazioni2, e fanno parte integrante delle disposizioni iniziali di tutte le moderne carte costituzionali. In particolare, l'art 15 della Costituzione italiana stabilisce l'inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione.
Le questioni legate al tema in esame trovano tuttavia dal punto di vista giuridico una diversa soluzione nel blocco europeo e in quello relativo ad altri paesi extra Ue, sia in rapporto al differente livello di difesa dei diritti degli utenti, sia con riferimento alle diverse condizioni in cui si trovano a dover operare gli organismi di telecomunicazioni e le imprese.

2.
Per risolvere in modo efficace e completo il problema della sicurezza nelle reti elettroniche, digitali e telematiche, vi è quindi la necessità di definire un insieme di misure e strumenti, anche tecnologici e non giuridici, che siano uniformi a livello mondiale. Non a caso, uno dei nodi più difficili da sciogliere in relazione al fenomeno dell'e-commerce è proprio la questione della legge applicabile e del foro competente in caso di violazioni o danni subiti dagli utenti on line. La direttiva 2000/31/Ce dell'8 giugno 2000 sul commercio elettronico indica, al riguardo, la strada della cooperazione degli Stati membri per facilitare l'adozione di forme "alternative" di risoluzione delle controversie (i cosiddetti sistemi Adr, Alternative dispute resolution, come le forme di arbitrato, negoziato e così via)3.
Internet si caratterizza infatti come un sistema internazionale di reti interconnesse e interattive accessibili a chiunque e, per questa ragione, è venuta a svolgere un ruolo di laboratorio sperimentale di nuove regole e forme di loro produzione, nonché di cassa di risonanza dei problemi relativi all'eterogeneità delle regolamentazioni nazionali in materia di segretezza e riservatezza delle comunicazioni. E ciò soprattutto per quanto riguarda le distanze tra l'approccio comunitario, con una maggiore attenzione (seppure non in modo omogeneo tra tutti gli Stati membri dell'Ue) verso i diritti fondamentali della persona e caratterizzato da un apparato stringente di principi e disposizioni normative anche per specifici settori, e l'impostazione seguita dagli Stati Uniti, più favorevole a una logica di mercato incentrata su iniziative di autoregolamentazione degli operatori e sulla diffusione tra il pubblico di misure tecnologiche di difesa.

Già in passato, diversi operatori anche europei, riuniti nel consorzio World wide web, hanno partecipato ad alcune significative iniziative di autodisciplina relative a Internet, sfociate poi nella "Piattaforma per le preferenze in materia di protezione della vita privata (P3P - Platform for privacy preferences) e la norma aperta per i profili (Ops - Open profile standard), una sorta di vocabolario comune dei meccanismi di funzionamento della rete, in rapporto alle aspettative di riservatezza di chi vi si connette, da inserire nei programmi di navigazione. Tramite questo strumento gli utenti e i fornitori/gestori di reti o siti web potrebbero, per esempio, accordarsi sul grado di protezione da assicurare alle navigazioni su Internet.
Stanno altresì riscuotendo un grande successo, tra gli operatori e nel gradimento dell'utenza di tutto il mondo, programmi denominati Web seals, o sistemi cosiddetti di labellizzazione. Essi sono stati realizzati con l'obiettivo della classificazione e certificazione4 dei siti Internet "puliti", che rispettano cioè un nucleo fondamentale di princìpi in tema di sicurezza e riservatezza e che forniscono una piena informazione sulle caratteristiche e sulle modalità, anche tecniche, di funzionamento e di uso dei dati svolto a ogni livello.

3.
Per la futura definizione di regole internazionali in materia, appare molto interessante l'attività sinora svolta dal Gruppo di lavoro delle Autorità europee di controllo previsto dall'art 29 della direttiva comunitaria sulla privacy, che ha elaborato diversi documenti di lavoro e raccomandazioni, indirizzate anche a operatori del settore non europei, in merito ai problemi della sicurezza nelle comunicazioni elettroniche e della riservatezza dei dati su Internet. Si segnala, tra i numerosi interventi in materia5, la raccomandazione n 1/99 rivolta ai "progettisti" del software e dell'hardware per rafforzare le misure logiche a difesa della riservatezza dei dati dei cibernauti nei confronti dei trattamenti cosiddetti invisibili e automatici svolti su Internet attraverso i browser o i cookies (che possono contenere, o utilizzare successivamente, informazioni che consentono l'identificazione diretta e indiretta di un singolo utente).
Più di recente, occorre segnalare il lungo e difficile negoziato in materia di data protection svolto dalla Commissione europea con gli Stati Uniti, negoziato che, sulla spinta delle forti pressioni legate all'espansione dell'e-commerce, è sfociato nell'accordo concernente i principi dell'approdo sicuro (Safe Harbor) e delle relative domande più frequenti (Faq) in materia di riservatezza pubblicate dal dipartimento del Commercio statunitense6. Alla fine, la Commissione ha infatti ritenuto che le società americane che si conformano volontariamente a tali principi, attraverso una procedura di autocertificazione e pubblico annuncio dell'impegno a rispettarli sotto la vigilanza della Federal trade commission - sicché una loro violazione costituirebbe un atto sleale o ingannevole, perseguibile in base alle norme federali statunitensi sul commercio - garantiscono un livello adeguato di protezione dei dati e, pertanto, i paesi europei possono trasferire informazioni nei loro confronti.
Rispetto agli operatori statunitensi, le aziende e gli utenti che operano all'interno dell'Unione europea sono tenuti invece a rispettare una serie di rigorose disposizioni dettate dal legislatore sia comunitario sia dei singoli Stati dell'Unione stessa.

4.
Il settore delle telecomunicazioni è stato oggetto nel corso degli anni Novanta di una particolare attenzione in ambito comunitario anche al fine di accelerare il processo di liberalizzazione con la realizzazione, come in altri campi, di un sistema di piena concorrenza7. Nel disciplinare tale delicato passaggio, le disposizioni comunitarie, e le relative previsioni nazionali di recepimento o di attuazione, hanno fissato alcune "esigenze fondamentali" o motivi di interesse generale in base ai quali uno Stato membro può imporre condizioni relative all'installazione e all'esercizio di reti di telecomunicazione oppure alla fornitura di servizi di tlc o comunque di comunicazioni elettroniche, eventualmente limitandone l'accesso8. Tra queste esigenze, sono appunto considerate fondamentali la sicurezza di funzionamento e delle operazioni di rete, il mantenimento della sua integrità e la protezione dei dati.

Per le misure attinenti alla sicurezza delle reti, delle comunicazioni e delle informazioni trasmesse, le disposizioni comunitarie e nazionali del settore9 rinviano alle specifiche misure dettate in proposito dalla disciplina sulla protezione dei dati personali. Le prime previsioni in questa materia sono quelle contenute dalla Convenzione di Strasburgo n 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, che deve essere considerata la base normativa dell'attuale disciplina comunitaria e nazionale. Tale Convenzione, sottoscritta nell'ambito del Consiglio d'Europa il 28 gennaio 1981 e ratificata dall'Italia con la legge 21 febbraio 1989, n 98, ha, infatti, imposto agli Stati membri di adottare specifiche normative sulla tutela informatica dei dati. In Italia, tale normativa è stata introdotta soltanto agli inizi del 1997, anche per rispettare gli obblighi derivanti dall'adesione all'Accordo di Schengen del 1985 e alla successiva convenzione di applicazione del 1990 (ratificati dall'Italia con la legge n 388 del 1993) sulla soppressione dei controlli alle frontiere e sulla realizzazione di alcune banche dati per lo scambio di informazioni tra gli Stati comunitari sulle persone ricercate, espulse, scomparse o sottoposte a procedimenti penali (Sis, Sistema di informazione Schengen). Secondo quanto stabilito nei citati accordi di Schengen, la creazione di questo sistema comune di informazione è condizionata al rispetto di uno standard minimo di sicurezza informatica, standard che viene appunto identificato nel rispetto delle misure stabilite a livello nazionale in base alla Convenzione n 108.

5.
Le direttive comunitarie che disciplinano gli aspetti della sicurezza e della riservatezza dei dati sono due: la 95/46/Ce, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e la 97/66/Ce, relativa alla tutela della vita privata e dei dati personali nel settore delle telecomunicazioni, la quale ha per l'appunto integrato la direttiva generale prevedendo norme specifiche per il settore delle tecnologie digitali e della telefonia. Tali direttive, anche se non ancora pienamente attuate in alcuni Stati membri dell'Unione europea, sono state entrambe recepite nell'ordinamento italiano rispettivamente con la legge 31 dicembre 1996, n 675, sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (nota al pubblico come la legge sulla privacy) e con il decreto legislativo 13 maggio 1998, n 171, sulla tutela della vita privata nel settore delle telecomunicazioni.
Sia la direttiva 97/66/Ce sia il dlgs n 171/1998 tengono inoltre conto delle linee guida impartite dal Consiglio d'Europa nella Raccomandazione n R (95) 4 del 7 febbraio 1995 sulla protezione dei dati di carattere personale nel settore dei servizi di telecomunicazioni, con particolare riguardo ai servizi telefonici.
Il dlgs n 171 contiene una legislazione molto complessa, soprattutto per l'elevato contenuto tecnico dei profili considerati, che sono, tra l'altro, in fase di continua e rapidissima evoluzione. Stesso discorso per la recepita direttiva 97/66/Ce, di cui è in corso un riesame e aggiornamento in sede comunitaria al fine di consentire una piena applicabilità anche nei confronti delle diverse tipologie di servizi di trasmissione utilizzati nelle reti di comunicazione elettronica, a prescindere dalla tecnologia impiegata (in linea con il quadro normativo comune delineatosi a livello comunitario10). La richiamata direttiva 2000/31/Ce sul commercio elettronico contiene comunque un esplicito chiarimento sulla corretta e integrale applicazione della disciplina giuridica comunitaria sulla protezione dei dati personali ai cosiddetti "servizi della società dell'informazione", per cui deve ritenersi che Internet e il commercio elettronico siano pienamente soggetti alla vigente normativa in tema di data protection.

In ambito nazionale, la delega legislativa, già prevista nella legge n 676/1996 (emanata contestualmente alla n 675), per disciplinare anche lo specifico ambito dei rapporti tra privacy e Internet è stata peraltro recentemente rinnovata dal Parlamento con la legge 24 marzo 2001, n 127, che ha differito il termine per l'esercizio della stessa delega da parte del Governo alla data del 31 dicembre 2001.
In sintesi, la disciplina vigente prevede particolari obblighi per i cosiddetti gestori della rete e i fornitori di servizi di telecomunicazione per salvaguardare la sicurezza della rete e dei servizi medesimi. Questi obblighi consistono nell'adozione delle misure tecniche e organizzative idonee a garantire un livello adeguato di protezione rispetto ai rischi previsti. In primo luogo, i fornitori devono adottare apposite e preventive misure di sicurezza, in grado anche di tenere conto del costante progresso tecnico, per custodire e controllare i dati, in modo tale da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato e di trattamento non consentito11. In secondo luogo, sono tenuti a informare gli abbonati e gli utenti sia quando sussistono particolari rischi di violazione della sicurezza della rete, che non possono essere eliminati mediante le misure di sicurezza adottate, indicando i possibili rimedi e i relativi costi, sia circa la sussistenza di situazioni che permettono di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti a esse estranei (la previsione non riguarda chiaramente i casi di intercettazione delle comunicazioni o delle conversazioni previsti dalla legge)12.

Alle indicazioni contenute nella normativa su privacy e tlc, vanno ad aggiungersi infine gli obblighi stabiliti dalla disciplina generale italiana sulla protezione dei dati, con specifico riferimento alle misure minime di sicurezza per gli elaboratori in rete previste da un recente regolamento governativo (il Dpr 28 luglio 1999, n 318) la cui mancata adozione è sanzionata penalmente in base agli artt 15, comma 2, e 36 della legge 675/1996.
Sempre in relazione all'apparato sanzionatorio previsto a livello nazionale, vanno inoltre ricordate le norme del codice penale relative all'inviolabilità dei segreti e al perseguimento degli illeciti concernenti la corrispondenza e le comunicazioni telefoniche, informatiche e telematiche (in particolare, gli artt 616 e segg del codice penale, come modificati dalla legge 23 dicembre 1993, n 547, in tema di criminalità informatica).
Per la lotta alla criminalità informatica, il cosiddetto cybercrime, è in corso di elaborazione fin dal 1997 un progetto di Convenzione nell'ambito del Consiglio d'Europa, il cui obiettivo è di promuovere una più intensa cooperazione internazionale in questo settore, attraverso l'armonizzazione delle procedure e il potenziamento dell'assistenza giudiziaria13.

6.
Da ultimo, occorre menzionare le disposizioni comunitarie e nazionali sull'utilizzo di sistemi informatici e crittografici in relazione alla firma digitale e al documento elettronico. Un'implementazione e un'ampia diffusione delle tecniche di cifratura sono ritenute da tutti gli esperti del settore uno degli strumenti più efficaci allo scopo di assicurare l'effettiva segretezza delle comunicazioni e la circolazione dei messaggi in sicurezza (l'insieme di questi strumenti e di altri dispositivi attivi, che permettono le cosiddette navigazioni anonime, è denominato Pet, Privacy enhancing tecnologies).
Rispetto a tale argomento, la Comunità europea ha adottato il 13 dicembre 1999 la direttiva 1999/93/Ce relativa a un quadro comunitario per le firme elettroniche, ma in Italia già dal 1997 esiste una precisa disciplina in proposito, con la prima legge Bassanini (in particolare, l'art 15, comma 2, legge 15 marzo 1997, n 59 sul conferimento di funzioni a regioni ed enti locali, sulla riforma della Pubblica amministrazione e sulla semplificazione amministrativa) e il relativo regolamento attuativo (il dpr 10 novembre 1997, n 513, sui criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici).
Tale normativa è ora confluita nel testo unico sulla documentazione amministrativa (di cui al dlgs n 443 e ai dpr nn 444 e 445 del 28 dicembre 2000), anche se non è ancora pienamente operativa per la scelta di rinviare la disciplina di diversi profili a una serie di successive regole tecniche che stanno gradualmente trovando piena attuazione.

Note

1 Ratificata dall'Italia con la legge 4 agosto 1955, n 848. Cfr anche l'art 12 della Dichiarazione universale dei diritti dell'uomo.

2 Vedi l'art 7 sul rispetto della vita privata e familiare dell'individuo; cfr anche gli artt 6 e 8 sui diritti rispettivamente alla libertà e alla sicurezza nonché alla protezione dei dati di carattere personale. La carta è consultabile all'indirizzo http://www.cartadeidiritti.net/.

3 Vedi l'art 17 della direttiva 2000/31/Ce.

4 Mediante, appunto, l'apposizione di una sorta di sigillo, bollino o marchio di qualità.

5 Per una rassegna dei documenti più significativi, vedi la rubrica "normativa" del sito web del Garante per la protezione dei dati personali, all'indirizzo http://www.garanteprivacy.it/.

6 Vedi la decisione adottata dalla Commissione Ue il 26 luglio 2000 e i relativi allegati: atti che sono stati pubblicati sulla Gazzetta ufficiale delle Comunità europee L 215 del 25 agosto 2000.

7 Cfr, in particolare, la direttiva 96/2/Ce sulle comunicazioni mobili e personali, nonché le altre direttive 95/51/Ce, 95/62/Ce, 96/19/Ce, 97/13/Ce e 97/33/Ce attuate in Italia dal decreto legge 1 maggio 1997, n 115, convertito, con modificazioni, dalla legge 1 luglio 1997, n 189 (in Gu n 151 del 1 luglio 1997) e dal regolamento governativo approvato con dpr 19 settembre 1997, n 318 (pubblicato nella Gu n 191/L del 22 settembre 1997). Vedi anche la legge 31 luglio 1997, n 249, concernente l'istituzione dell'Autorità per le garanzie nelle comunicazioni e le norme sui sistemi delle telecomunicazioni e radiotelevisivo.

8 Vedi gli artt 1, comma 1, lett c, 6 e 12 del citato dpr n 318/1997, nonché il dpr 11 gennaio 2001, n 77, recante il regolamento di attuazione delle direttive comunitarie 97/51/Ce di adeguamento al contesto concorrenziale delle telecomunicazioni e 98/10/Ce sull'applicazione del regime di fornitura di una rete aperta (Onp) alla telefonia vocale e sul servizio universale delle tlc in un ambiente concorrenziale.

9 Vedi sempre l'art 15 del citato dpr n 318/1997, nonché l'art 7 del decreto 25 novembre 1997 del ministero delle Comunicazioni sul rilascio delle licenze individuali, pubblicato nella Gu n 283 del 4 dicembre 1997.

10 Vedi le proposte di direttive 2000/0183 (Cod) e 2000/0189 (Cod) presentate dalla Commissione europea il 12 luglio scorso.

11 Vedi l'art 4 della dir 97/66/Ce e art 2 del dlgs 171, che richiama le misure di cui all'articolo 15, comma 1, della legge n 675/1996.

12 Vedi gli artt 5 dir 97/66/Ce e 3 dlgs 171.

13 L'ultima versione del testo, del 22 dicembre 2000, è disponibile, in lingua inglese, sul portale Europa, all'indirizzo http://www.europa.eu.int/comm/internal_market/en/media/