Decreto legislativo - 30/06/2003 - n. 196 art. 131 - (Informazioni a contraenti e utenti)12
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa il contraente e, ove possibile, l'utente circa la sussistenza di situazioni che permettono di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei 3. 2. Il contraente informa l'utente quando il contenuto delle comunicazioni o conversazioni può essere appreso da altri a causa del tipo di apparecchiature terminali utilizzate o del collegamento realizzato tra le stesse presso la sede del contraente medesimo4. 3. L'utente informa l'altro utente quando, nel corso della conversazione, sono utilizzati dispositivi che consentono l'ascolto della conversazione stessa da parte di altri soggetti. [1] A norma dell'articolo 1, comma 12, del D.Lgs. 28 maggio 2012, n. 69, la parola "contraente" ha sostituito la parola "abbonato", ovunque ricorrente nel presente decreto. [2] Rubrica sostituita dall'articolo 11, comma 1, lettera h), del D.Lgs. 10 agosto 2018, n. 101. [3] A norma dell'articolo 1, comma 12, del D.Lgs. 28 maggio 2012, n. 69, la parola "contraente" ha sostituito la parola "abbonato", ovunque ricorrente nel presente decreto. [4] A norma dell'articolo 1, comma 12, del D.Lgs. 28 maggio 2012, n. 69, la parola "contraente" ha sostituito la parola "abbonato", ovunque ricorrente nel presente decreto. InquadramentoL'articolo in commento riproduce in sostanza l'art. 3 «Riservatezza nelle comunicazioni» del d.lgs. n. 171/1998, recante disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della dir. 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giornalistica, tenendo conto delle modifiche introdotte dalla dir. 2002/58/CE in esecuzione del principio di neutralità tecnologica, con riferimento all'adozione di misure volte a garantire che le apparecchiature terminali siano costruite salvaguardando i dati personali e la vita privata ed «in maniera compatibile con il diritto degli utenti di tutelare e controllare l'uso dei loro dati personali». DefinizioniNella definizione di servizi di comunicazione elettronica rientrano i «servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche», come ad esempio i servizi di accesso ad Internet o di posta elettronica, ai sensi dell'art. 121, comma 1-bis, lett. e) d.lgs. n. 196/2003 recante disposizioni in materia di protezione dei dati personali (c.d. «codice privacy»). Come più in dettaglio riportato a commento del precedente art. 129 cod. privacy, la Commissione europea, in data 10 gennaio 2017, ha presentato una proposta di regolamento (COM(2017) 10 final, 2017/0003(COD)) del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (regolamento sulla vita privata e le comunicazioni elettroniche) e che sostiene l'abrogazione della dir. 2002/58/CE (c.d. «ePrivacy Regulation» o «ePR»). In tale ambito, dopo 4 anni, il 10 febbraio 2021, il Comitato dei rappresentanti permanenti degli Stati membri dell'UE nel Consiglio («COREPER») ha concordato un mandato negoziale sulla bozza di regolamento ePrivacy. Con questo mandato, l'allora presidenza portoghese del Consiglio UE ha potuto avviare incontri negoziali a tre (c.d. trilogo) con il Parlamento europeo e la Commissione per raggiungere un accordo sul testo finale del regolamento. Prosegue, di fatto, il negoziato informale sul testo finale del regolamento. Una volta approvato ed entrato in vigore, l'ePrivacy Regulation in quanto lex specialis sarà «complementare» al regolamento generale sulla protezione dei dati (Reg. (UE) 2016/679, di seguito anche «Regolamento») e disciplinerà i trattamenti di dati personali afferenti alle comunicazioni elettroniche (Banks, Banks, 48-133). Ebbene, la proposta di ePrivacy Regulation, in linea con la definizione fornita dalla dir. (UE) 2018/1972 dell'11 dicembre 2018 che istituisce il «Codice Europeo delle Comunicazioni Elettroniche», qualifica i servizi di comunicazione elettronica come «i servizi forniti di norma a pagamento su reti di comunicazioni elettroniche», che includono i servizi di accesso a internet, i servizi di comunicazione interpersonale ed servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali (es. M2M, IoT) – cfr. considerando 11 e art. 4, paragrafo 1, lett. (b) dell'ePR; art. 2, punti da 4) a 7), dir. (UE) 2018/1972. Il Codice Europeo delle Comunicazioni Elettroniche si applica a decorrere dal 21 dicembre 2020, previo recepimento da parte degli Stati membri. Per quanto attiene l'Italia, a fine ottobre 2020 il Senato ha dato il via libera al disegno di legge di «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea – Legge di delegazione europea 2019-2020» (A.S. 1721). Nello specifico l'art. 4 detta i principi e criteri direttivi per l'attuazione delle disposizioni della dir. (UE) 2018/1972, di modifica o integrazione del Codice delle comunicazioni elettroniche (d.lgs. n. 259/2003 e s.m.i.). Per ragioni di armonizzazione e di semplificazione, la delega al Governo punta all'adozione di un nuovo Codice delle Comunicazioni, che comprenda in un unico atto normativo le modifiche legislative intervenute negli anni. Tale disegno di legge, sottoposto all'esame della Camera dei Deputati (A.C. 2757), ha subito diversi emendamenti all'art. 4. L'iter in Commissione si è concluso il 17 dicembre 2020, è stato discusso in Assemblea (iniziata il 25 gennaio 2021). Il disegno di legge è stato approvato definitivamente il 20 aprile 2021 ed è divenuto l. n. 53/2021 (entrata in vigore 8 maggio 2021). Successivamente, il Governo ha sottoposto a parere parlamentare uno schema di decreto legislativo conseguente alla delega contenuta nell'art. 4 della legge di delegazione europea 2019-2020, relativo alle comunicazioni elettroniche. Si è trattato di un atto composto da 133 articoli e 14 allegati, che ha modificato profondamente ed aggiornato ampiamente la disciplina relativa alle comunicazioni elettroniche (cfr. A.G.289, 6). Il Codice Europeo delle Comunicazioni Elettroniche ha trovato attuazione in Italia con il d.lgs. n. 207/2021 pubblicato, nella Gazzetta Ufficiale n.292 del 9 dicembre (entrato in vigore il 24 dicembre 2021).Le principali modifiche in tema di sicurezza delle comunicazioni introdotte dal Codice Europeo delle Comunicazioni Elettroniche sono state analizzate dall'Agenzia europea per la sicurezza delle reti e dell'informazione o European Union Agency for Network and Information Security (c.d. «ENISA») – istituita con reg. (CE) 460/2004 al fine di «assicurare un alto ed efficace livello di sicurezza delle reti e dell'informazione nell'ambito della Comunità [rectius, dell'Unione, n.d.r.] e di sviluppare una cultura in materia di sicurezza delle reti e dell'informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico dell'Unione europea, contribuendo in tal modo al corretto funzionamento del mercato interno». All'interno del proprio rapporto, denominato Security supervision under the EECC, l'ENISA ha identificato i principali cambiamenti nella legislazione ed aree chiave sulle quali le autorità nazionali degli Stati membri dell'UE sono chiamate ad intervenire, per i quali si rinvia a quanto riportato a commento dell'art. 129 cod. privacy. Proseguendo con le definizioni, per quanto attiene, invece, le apparecchiature terminali, sono da ricomprendere in tale dizione «le apparecchiature allacciate direttamente o indirettamente all'interfaccia di una rete pubblica di telecomunicazioni per trasmettere, trattare o ricevere informazioni; in entrambi i casi di allacciamento, diretto o indiretto, esso può essere realizzato via cavo, fibra ottica o via elettromagnetica; un allacciamento è indiretto se l'apparecchiatura è interposta fra il terminale e l'interfaccia della rete pubblica» nonché «le apparecchiature delle stazioni terrestri per i collegamenti via satellite» ai sensi dell'art. 1, punto 1, dir. 2008/63/CE della Commissione, relativa alla concorrenza sui mercati delle apparecchiature terminali di telecomunicazioni (cfr. art. 4, paragrafo 1, lett. (c) dell'ePR; art. 2, punto 41), dir. (UE) 2018/1972; art. 1, comma 1, d.lgs. 26 ottobre 2010 n. 198). Con il termine contraente è da intendersi «qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate», nell'attuale formulazione del codice privacy, come modificato dal d.lgs. n. 101/2018 recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la dir. 95/46/CE – cfr. art. 121, comma 1-bis, lett. f) cod. privacy. Si tratta di un concetto che ricomprende tanto le persone fisiche quanto le giuridiche nel rispetto del c.d. «obbligo di interpretazione conforme», che impone la lettura del diritto interno nazionale nel senso più aderente possibile a quello comunitario – cfr. GPDP, 20 settembre 2012 [doc. web n. 2094932]. Come noto, dal 2012 il termine contraente ha sostituto quello di abbonato conformemente a quanto disposto dall'art. 1, comma 12 d.lgs. n. 69/2012, recante modifiche al codice privacy in attuazione delle dir. 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e dir. 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del reg. (CE) 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. Infine, per utente deve intendersi «qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata» (cfr. art. 121, comma 1-bis, lett. g) cod. privacy); tale definizione esclude, dunque, le persone giuridiche, enti o associazioni suindicate. Informazione dal fornitore al contraenteL'articolo in commento, così come l'art. 132-quater cod. privacy, fa fronte ad un'esigenza di trasparenza, assegnando ad un fornitore di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni il compito di informare i contraenti e, ove possibile, gli utenti in merito a possibili minacce (es. ascolto o sorveglianza delle comunicazioni, memorizzazione) per la sicurezza e la riservatezza nelle comunicazioni effettuate tramite la rete pubblica di comunicazione, oltreché per i servizi, così da consentire a questi ultimi di adottare opportune cautele, come l'impiego di particolari tipi di programmi o tecniche di cifratura che consentono di codificare i dati in modo tale da renderli accessibili soltanto a soggetti autorizzati. Informazione dal contraente all'utenteNel caso in cui il rischio per la riservatezza delle comunicazioni derivi dalle apparecchiature installate presso il contraente o dal collegamento tra le stesse, ricade sul contraente il dovere di informare l'utente (es. un'impresa nei confronti del personale in servizio). Informazione dall'utente ad altro utenteUn utente intenzionato ad avvalersi di dispositivi, che permettono l'ostensione a terzi della comunicazione, come il «vivavoce», ha l'obbligo informare l'interlocutore per consentirgli di scegliere se proseguire la conversazione o interromperla. Ai sensi dell'art. 615-bis c.p. commette il reato di interferenze illecite nella vita privata colui che «mediante l'uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell'art. 614 [abitazione altrui o altro luogo di privata dimora o appartenenze di essi, n.d.r.]». La ratio della norma si sostanzia in un'ulteriore protezione della riservatezza, in quanto i diritti inviolabili della persona e la libertà e la segretezza delle comunicazioni, tutelati costituzionalmente (artt. 2 e 15 Cost.), possono essere compromessi dall'uso di strumenti e tecnologie sempre più evoluti (es. microfoni, apparecchi di tipo radiospia anche se idonei solo a captare e non fissare il suono captato) ad insaputa degli utenti (Antolisei, 219). La giurisprudenza di legittimità ha avuto modo di precisare come non si possa dire che le parole siano state captate «indebitamente» avuto riguardo al destinatario delle stesse (Mazza, 186). In tal senso, la Corte di Cassazione ha più volte ribadito che «la norma tende a tutelare la riservatezza individuale contro le interferenze illecite nella vicenda privata di ognuno, sempreché le interferenze provengano da terzi, rimasti estranei alla conversazione, oggetto di registrazione» (Cass.VI, 19 febbraio 1981). Ad avviso della Suprema Corte colui che assiste ad una conversazione telefonica svoltasi fra altre persone, in quanto autorizzato da una delle stesse, non commette il reato di cui all'art. 615-bis c.p., né quello di cui all'art. 617 c.p. sulla cognizione fraudolenta o impedimento illecito di comunicazioni o conversazioni telefoniche e 623 c.p. sulla rivelazione di scoperte scientifiche, invenzioni e applicazioni industriali (fattispecie relativa alla ritenuta utilizzabilità della testimonianza resa da colui che ascolti il colloquio in modalità viva voce) – cfr. Cass. pen.VI, n. 15003/2013; Cass. pen.III, n. 5241/2016, in Dir. Giust., 6 febbraio 2017, con nota di Valentini). In caso di registrazioni di conversazioni tra presenti, da parte di un partecipante alle stesse, non è configurabile l'ipotesi di reato di cui all'art. 615-bis c.p. e la registrazione è utilizzabile come prova nel processo civile (Trib. Torino I, 2 maggio 2013; Cass. II, n. 12206/1993; Cass. pen. II, n. 7465/2021; Cass. pen. VI, n. 5782/2020). Con successiva sentenza n. 28398 del 29 settembre 2022 la Corte di Cassazione Sez. Lavoro Civile ha affermato che la registrazione su nastro magnetico di una conversazione tra presenti (nel caso di specie dipendente e colleghi di lavoro) può costituire «fonte di prova entro i limiti e le condizioni specificamente individuate» ex art. 2712 c.c., ossia che: – colui contro il quale la registrazione è prodotta «non contesti che la conversazione sia realmente avvenuta, né che abbia avuto il tenore risultante dal nastro»; – almeno uno dei soggetti, partecipanti alla conversazione, sia «parte in causa»; e – il disconoscimento, da eccepire nel rispetto delle preclusioni processuali di cui agli artt. 167 e 183 c.p.c. sia «chiaro, circostanziato ed esplicito e concretizzarsi nell'allegazione di elementi attestanti la non corrispondenza tra la realtà fattuale e quella riprodotta (Cass. n. 1250/2018, n. 5259/2017 e n. 27424/2014)». Con riferimento all'utilizzabilità delle prove illegittimamente acquisite in violazione delle disposizioni di legge in materia di protezione dei dati personali, occorre richiamare l'art. 160-bis cod. privacy rubricato «Validità, efficacia e utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conformi a disposizioni di legge o di Regolamento», inserito dal d.lgs. n. 101/2018. Nello specifico, l'art. 160-bis cod. privacy, riprendendo sostanzialmente i contenuti dell'abrogato comma 6 dell'art. 160 cod. privacy, statuisce «la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali». Nell'attuale formulazione è venuto meno il pregresso espresso riferimento alle disposizioni processuali «nella materia civile e penale», di cui all'abrogato comma 6 dell'art. 160 cod. privacy, e sono stati così superati gli eventuali dubbi sull'applicabilità della disposizione de quo a qualsiasi contesto processuale (es. amministrativo, tributario). Inadempimento e sanzioniIl d.lgs. n. 101/2018 non ha apportato modifiche all'art. 131 cod. privacy, riprendendone integralmente il contenuto. In caso di violazione delle disposizioni di tale articolo è comminabile la sanzione amministrativa pecuniaria di cui all'art. 83, paragrafo 5, Regolamento: fino a 20 Mln/€ o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente se superiore (art. 166, comma 2, cod. privacy, modificato dal d.lgs. n. 101/2018). L'art. 15, comma 1, lett. a) del d.lgs. n. 101/2018 rubricato «Modifiche alla parte III, titolo III, del d.lgs. n. 196/2003» è, infatti, intervenuto sull'art. 166 cod. privacy, sostituendolo integralmente e prevedendo espressamente, al comma 2, che sono «soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui agli articoli [omissis] 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater [omissis]». Spetta al Garante, quale organo competente, irrogare la sanzione amministrativa; a tal fine, il procedimento per la sua adozione può essere avviato a seguito di reclamo (art. 77 Regolamento), di attività istruttoria su propria iniziativa [propria dell'autorità nazionale, n.d.r.], nell'esercizio dei poteri di indagine (art. 58, paragrafo 1, Regolamento), per accessi, ispezioni o verifiche svolte in base a poteri di accertamento autonomi o delegati dal Garante medesimo. Nell'adozione di un provvedimento sanzionatorio può trovare applicazione, altresì, la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante (art. 166, comma 7, cod. privacy). In aggiunta a ciò, il d.l. n. 139/2021 convertito con modificazioni della l. n. 205/2021 (c.d. «Decreto Capienze») ha introdotto al comma 7 dell'art. 166 cod. privacy, a titolo di sanzione accessoria, la possibilità di ingiungere la realizzazione di campagne di comunicazione istituzionale per promuovere la consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell'art. 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di sensibilizzazione in materia, realizzate dal trasgressore anteriormente alla commissione della violazione, come una sorta di «attenuante». BibliografiaAntolisei, Manuale di diritto penale, Parte speciale, I, a cura di Conti, Milano, 1996; Banks - Banks, Corporate Legal Compliance Handbook, 2019-1 Supplement, New York, 2019; Buttarelli, Senato della Repubblica Italiana - Commissione speciale sugli atti urgenti del Governo - Audizione di Giovanni Buttarelli, Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento relativo alla vita privata e alle comunicazioni elettroniche (regolamento e-privacy), in https://edps.europa.eu, 24 aprile 2017; Filippi, Intercettazioni, tabulati e altre limitazioni alla segretezza delle comunicazioni, in Procedura penale Teoria e pratica del processo, Milano, 2015; Mazza (a cura di), Le nuove intercettazioni, Torino, 2018; Mantovani, Diritto penale, Parte speciale, I, Assago, 2016; Palazzo, Considerazioni in tema di tutela della riservatezza (a proposito del nuovo art. 615-bis c.p.), in Riv. it., 1975, 126; Tommasini, Osservazioni in tema di diritto alla privacy, in Dir. fam., 1976, II, 242; Volta, La tutela penale del diritto alla riservatezza, in Riv. pen., 1989, 635. |
