L'Europa fa sul serio, o almeno ci prova. Questo potrebbe essere la conclusione dopo una prima lettura della direttiva 2002/58/CE "relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche". Sono infatti molte le novità in positivo rispetto alla abrogata 97/66/CE (nota come "direttiva ISDN), recepita con il decreto legislativo 171/98.
La nuova normativa, che formalmente integra la 95/46/CE, la "madre di tutte le direttive" sulla protezione dei dati personali, segna di fatto l'inizio di una nuova generazione di norme sulla delicata materia e mette alcuni punti fermi in una discussione che va avanti da anni, sul bilanciamento tra gli interessi dell'industria e i diritti dei cittadini.

In questo articolo vediamo in sintesi solo alcuni punti essenziali del testo, che sarà oggetto di altre più approfondite analisi nel prossimo futuro.

Mail spamming

L'articolo 13 della direttiva disciplina nel dettaglio le comunicazioni indesiderate di tutti i tipi, includendo esplicitamente la posta elettronica, ma solo "a fini di commercializzazione diretta", lasciando fuori quindi tutta la massa di comunicazioni politiche, messaggi "umanitari" e spazzatura varia che  ingombra le nostre mailbox. Il paragrafo 1 stabilisce il principio dell'opt-in, cioè i messaggi possono essere inviati solo "agli abbonati che abbiano espresso preliminarmente il loro consenso".
Costituisce un'eccezione il secondo paragrafo: la commercializzazione diretta ai propri clienti è consentita se il cliente non si è "inizialmente" opposto all'uso delle proprie coordinate se in ogni comunicazione è indicata "in modo chiaro e distinto" la possibilità di opporsi a ulteriori utilizzi.

Ma con il terzo paragrafo la direttiva fa un mezzo passo indietro, lasciando ai singoli Stati membri la facoltà di decidere tra opt-in e opt-out, "in casi diversi da quelli di cui ai paragrafi 1 e 2". Questo significa (in accordo con il "considerando" n. 42) che potrebbe essere scelta la soluzione dell'opt-out per le chiamate non automatiche.

Un altro aspetto molto importante è nel paragrafo 4: In ogni caso, è vietata la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta camuffando o celando l'identità del mittente da parte del quale la comunicazione è effettuata, o senza fornire un indirizzo valido cui il destinatario possa inviare una richiesta di cessazione di tali comunicazioni.
Più che un divieto, nel contesto della Rete, sembra una dichiarazione di principio. Meglio di niente...
Il quinto paragrafo specifica che queste disposizioni si applicano agli abbonati che siano persone fisiche e rimanda alle normative nazionali per quelli che la nostra legge 675/96 definisce "altri soggetti".

Cookie e spyware

Anche su questo delicato capitolo la direttiva, finalmente, fa un po' di chiarezza. In realtà non c'è nulla che non fosse ricavabile dalla normativa generale, ma il terzo comma dell'art. 5 specifica che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento.

Le conseguenze di questa norma possono essere molto importanti. Infatti non solo viene proibito l'uso dei cookie senza una dettagliata informativa sul loro scopo e senza il consenso dell'interessato, ma si pongono fuori legge tutte le informazioni che il sistema operativo registra sulle operazioni compiute dall'utente (mettendole, di fatto, a disposizione di chiunque sappia come catturarle), senza che l'utente stesso sappia quali dati sono registrati e in quali misteriosi recessi del computer siano archiviati. Si deve pensare non solo ai comportamenti sospetti di una nota software house statunitense, ma anche alla possibilità che l'amministratore di una rete aziendale raccolga dati sull'attività dei dipendenti, leggendo le informazione archiviate in ogni macchina collegata (vedi anche Principi importanti, ma l'applicazione è difficile).

Fatturazioni, elenchi e altro

La nuova direttiva riprende anche molte disposizioni dell'abrogata 97/66 relative alle fatturazioni dettagliate, al trattamento dei dati contenuti negli elenchi, all'identificazione della linea chiamante, ai trasferimenti di chiamata e via elencando. Anche su questi punti non c'è nulla di sostanzialmente nuovo, se non una maggiore chiarezza e la previsione di alcune fattispecie che non sembravano particolarmente rilevanti al legislatore di sei anni prima. Si tratta, fra l'altro, dei dati relativi all'ubicazione dei terminali mobili (art. 9), oggi molto importanti per la fornitura di servizi di tele-assistenza. In ogni caso, le prescrizioni specifiche non sono altro che l'applicazione dettagliata delle disposizioni della direttiva 95/64 e, almeno a prima vista, non sembrano prestarsi a interpretazioni "di comodo".

Prime considerazioni

Per concludere questa prima lettura della direttiva è opportuna qualche considerazione generale. Come si diceva all'inizio di questa pagina, essa appartiene a una "seconda generazione" di norme sulla tutela dei dati personali, che fa tesoro delle esperienze applicative della direttiva generale del '95 e delle legislazioni nazionali che ne sono derivate.

Ma per capire l'evoluzione della visione comunitaria è necessario leggere con molto attenzione i "considerando" iniziali, che tracciano un quadro dettagliato e realistico del contesto in cui si inseriscono le le nuove disposizioni. Ed è utile anche considerare la direttiva alla luce di altri due importanti documenti, prodotti dal Working Party costituito ai sensi dell'art. 29 della 95/46. Si tratta della Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea del 17 maggio 2001e del Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites del 30 maggio di quest'anno. La novità, della quale anche il nostro legislatore dovrebbe tener conto, è nella visione globale del problema alla luce dell'effettiva evoluzione tecnologica. Sono almeno in parte superate le genericità e le astrazioni delle norme di prima generazione, per scendere sul terreno dei fatti concreti. E per dettare, quindi, disposizioni che hanno un riferimento alla realtà non troppo vago.

E' significativo lo sforzo di stabilire principi giuridici che assicurino la protezione dei cittadini dell'Unione anche nei confronti di trattamenti svolti da responsabili insediati fuori dell'Unione stessa, come si vede nel Working Document di quest'anno. E' evidente che il percorso dai principi giuridici alla loro reale applicazione non sarà né facile né breve, ma almeno ora disponiamo di una base sulla quale si potranno fondare azioni legali di qualche rilievo, in attesa di un concerto internazionale sulla materia.

Passando alle cose di casa nostra, vediamo che la nuova direttiva si inserisce in un delicato momento di passaggio. Infatti entro il 31 dicembre dovrebbe essere emanato il testo unico sulla materia, previsto dal DLgv 467/01, che non può tener conto delle disposizioni di una direttiva non ancora recepita e dovrà quindi essere rivisto nel giro di un anno o poco più.
Con il testo unico dovrebbe essere pubblicato anche il codice di autoregolamentazione dei fornitori di servizi, previsto dallo stesso decreto e "promosso" dal Garante con la deliberazione del 10 aprile 2002.

Tuttavia alla "promozione" non sembra che siano seguiti altri passaggi concreti verso l'elaborazione del codice, e non si è verificato quel dibattito che il segretario generale del Garante auspicava all'inizio dell'anno proprio su queste pagine (vedi Il dibattito sulla privacy è sempre aperto di Giovanni Buttarelli).
Appare quindi problematico che il codice possa essere varato prima del 31 dicembre, considerando l'entità degli interessi in gioco e il numero dei soggetti interessati (compresi quelli interessati a evitare l'autodisciplina)...

Dobbiamo dunque rassegnarci a continuare a ricevere per un bel pezzo tonnellate di mail indesiderate, che per di più affermano spudoratamente di non costituire spam, inviate da fantasmi telematici. Almeno le nuove disposizioni potrebbero diminuire lo spam nazionale e comunitario, perché per il resto siamo ancora alle dichiarazioni di principio, come si è detto.
Intanto, però, l'Europa potrebbe costringere lo spione globale di Redmond a venire a patti e a farci almeno  sapere dove nasconde i nostri dati e come possiamo cancellarli o evitare che vengano registrati. Una semplice informativa ai sensi delle disposizioni vigenti.