CONSULTAZIONE PUBBLICA SULLA COMUNICAZIONE UN APPROCCIO GLOBALE ALLA PROTEZIONE DEI DATI PERSONALI NELL UNIONE EUROPEA CONTRIBUTO DI MEDIASET S.P.A.

Transcript

1 CONSULTAZIONE PUBBLICA SULLA COMUNICAZIONE UN APPROCCIO GLOBALE ALLA PROTEZIONE DEI DATI PERSONALI NELL UNIONE EUROPEA CONTRIBUTO DI MEDIASET S.P.A. GENNAIO 2011 Premessa Mediaset accoglie con favore l invito della Commissione europea a fornire il proprio contributo in merito alla comunicazione del 4 novembre 2010 su quale approccio utilizzare per la revisione della legislazione esistente in materia di protezione dei dati personali nell Unione europea. Il test delle nuove sfide a cui la Commissione intende sottoporre il quadro regolamentare al momento in vigore all interno dell Unione europea (la direttiva quadro 95/46/CE, le due direttive sector-specific 2002/58/CE e 2009/136/CE oltre ai precisi riferimenti introdotti nel Trattato di Lisbona) comportano un notevole interesse ed impatto su quei soggetti economici che della protezione dei dati degli utenti fanno un punto fondamentale per il successo delle proprie attività quali i broadcaster televisivi. Infatti, rispetto ad altre imprese che operano esclusivamente in ambienti online, le emittenti televisive e Mediaset, in particolare, rispettano già le disposizioni previste in materia dalle direttive comunitarie (regime opt-in/opt-out, principio di necessità dei dati, diritto di accesso, rettifica e cancellazione o blocco dei dati, ecc.) e adattano il proprio modello di business in funzione degli obblighi da esse derivanti, delle aspettative dell utente e della fiducia che egli ripone sul nostro brand: il corretto trattamento dei dati è uno dei valori costituitivi del Gruppo Mediaset. Per quanto riguarda Mediaset, questo è maggiormente vero se considerato che il legislatore italiano nel recepire le direttive comunitarie ha elaborato una serie di strumenti regolamentari di grande modernità che anticipano molte delle proposte avanzate nella recente comunicazione della Commissione europea: i principi generali

2 della direttiva così come trasposta nel diritto italiano sono ancora validamente applicabili a ogni raccolta dati, su qualsiasi piattaforma e con qualunque mezzo. 1. Le nuove sfide La tutela della privacy in Italia è significativamente ricca di interventi normativi e regolamentari del Garante per la Protezione dei Dati Personali (d ora innanzi, per brevità, Garante ). Il quadro normativo e regolamentare italiano per completezza ed elevato livello di tutela dei dati personali può, quindi, a buon diritto essere utilizzato quale best practice a livello comunitario. Il Codice in materia di protezione dei dati personali (Decreto Legislativo 30 giugno 2003, n. 196, d ora innanzi, per brevità, Codice ) costituisce il riferimento normativo primario per la disciplina di questa materia e sancisce i seguenti principi generali: - il principio di liceità e trasparenza del trattamento dei dati personali posto dall art.11 del D. Lgs.196/03; - il principio dell informativa all interessato posto dall art.13 del D. Lgs.196/03; - il principio del consenso dell interessato posto dall art. 23 del D. Lgs.196/03; - il principio della notificazione al Garante del trattamento di dati personali da parte del titolare posto dall art.37 del D. Lgs.196/03, che trasforma l obbligo di notifica da regola generale a regola eccezionale nei casi espressamente indicati dalla legge o dal Garante per la protezione dei dati personali; - il principio di sicurezza del trattamento posto dall art.31 del D. Lgs.196/03. Il Codice stabilisce, inoltre, all art.3 D.Lgs.196/03, l innovativo ed autonomo principio di necessità nel trattamento dei dati che statuisce l obbligo di configurare, programmare, i sistemi informativi e i programmi informatici riducendo al minimo l utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l interessato solo in caso di necessità. 2

3 Il quadro regolamentare delineato dai provvedimenti generali del Garante (autorizzazioni e linee-guida) rimane quanto mai ricco e articolato Obiettivi chiave dell approccio globale alla protezione dei dati 2.1 Rafforzare i diritti delle persone Migliore la trasparenza per gli interessati Le attività di Mediaset che vengono direttamente interessate dalla revisione della legislazione sulla protezione dei dati personali riguardano Media Shopping, società del Gruppo Mediaset leader nel mercato delle vendite a distanza in Italia, e Mediaset Premium, servizio di televisione a pagamento complementare ai servizi free-to-air. Entrambi i servizi utilizzano un database dove vengono conservati i dati personali degli utenti che danno la propria autorizzazione tramite consenso informato (sistema opt-in). E possibile effettuare una profilazione dell utente solo se questo ha manifestato 1 In questa sede si può dar conto solo dei principali e più recenti interventi. Innanzitutto, il trattamento dei dati sensibili (compresi quelli genetici) e giudiziari è stato oggetto dei seguenti provvedimenti autorizzazioni generali da parte del Garante: - Autorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro - 16 dicembre Autorizzazione n. 2/2009 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale - 16 dicembre Autorizzazione n. 3/2009 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni - 16 dicembre Autorizzazione n. 4/2009 al trattamento dei dati sensibili da parte dei liberi professionisti - 16 dicembre Autorizzazione n. 5/2009 al trattamento dei dati sensibili da parte di diverse categorie di titolari - 16 dicembre Autorizzazione n. 6/2009 al trattamento dei dati sensibili da parte degli investigatori privati - 16 dicembre Autorizzazione n. 7/2009 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici - 16 dicembre Autorizzazione al trattamento dei dati genetici - 22 febbraio Differimento dell'efficacia dell'autorizzazione al trattamento dei dati genetici, rilasciata il 22 febbraio giugno Differimento dell'efficacia dell'autorizzazione al trattamento dei dati genetici rilasciata il 22 febbraio aprile Autorizzazione al trasferimento di dati personali del territorio dello Stato verso Paesi non appartenenti all'unione europea, effettuati in conformità alle clausole contrattuali tipo, di cui all'allegato alla decisione della Commissione europea del 5 febbraio 2010, n. 2010/87/UE - 27 maggio 2010 In secondo luogo, si ricordano i seguenti provvedimenti regolamentari settoriali del Garante in materia di: (a) Lavoro: - Linee guida del Garante per posta elettronica e Internet - 1 marzo Linee-guida per il trattamento di dati dei dipendenti privati - 23 novembre 2006 (b) Spamming: - Sms promozionali o di vendita diretta: le regole per il corretto uso -10 giugno Spamming. Regole per un corretto invio delle pubblicitarie - 23 maggio 2003 (c) Telemarketing: - Misure a tutela della c.d. "Ricerca inversa" dei vecchi abbonati ai servizi telefonici - 8 aprile Trattamento dei dati degli abbonati in caso di number portability - 1 aprile Si segnala, infine, il recente DPR 178/2010 disciplinante l istituendo Registro Pubblico delle Opposizioni (RPO) che consentirà ai titolari di utenze telefoniche di escludere i propri dati dal trattamento per finalità di marketing telefonico. 3

4 esplicitamente la propria volontà attraverso un consenso ad hoc (flag o dichiarazione orale). Sia per Media Shopping che per Mediaset Premium viene eseguita una profilazione dell utenza tramite consenso ad hoc. Entrambe salvaguardano le condizioni di trasparenza, chiarezza e correttezza di utilizzo delle informazioni fornite ai responsabili del trattamento. In materia di minori, è necessario per legge il consenso scritto dei genitori del minore per poter utilizzarne i dati. La via auto-regolamentare sembra pertanto preferibile per integrare con nuovi obblighi il quadro attualmente vigente. Mediaset accoglie con favore l iniziativa dell elaborazione di uno o più moduli standard a livello UE. In questo senso, si segnala l estrema utilità di creare un database unico dei frodati che andrebbe a ridurre significativamente i tempi attualmente necessari per il controllo delle violazioni di dati personali Rafforzare il controllo dei propri dati In Italia vige il principio di necessità (ex art. 3 del Codice) a cui Mediaset si conforma. Per quanto riguarda l esame per migliorare le modalità per l effettivo esercizio dei diritti di accesso, rettifica e cancellazione o blocco dei dati, Mediaset rispetta già un termine di risposta che viene definito dal Codice in 15 giorni. Questo periodo temporale risulta essere un termine minimo ragionevole per l espletamento delle funzioni connesse alle attività sopra elencate. Per quanto riguarda il diritto all oblio, in Italia non è previsto un limite di conservazione ma la normativa prevede che i dati non siano tenuti oltre il necessario. Sono previsti limiti temporali dalla normativa italiana solo per data retention nei servizi di telefonia (art. 132 Codice). Negli altri casi, operano i generali obblighi di conservazione correlati alla prescrizione dei diritti previsti dal Codice civile italiano che stabilisce un limite massimo di 10 anni. Per cui viene lasciato ai Responsabili (Titolare in Italia) stabilire delle policy interne in merito. 4

5 In Mediaset, i database con attività commerciali devono rispettare un limite massimo di 5 anni, durante i quali si provvede a una conservazione differenziata (prima in una black list, poi in un server in giacenza). Dopo il primo anno la conservazione viene effettuata in modo separato e l accesso ai dati è possibile sono in presenza di contenziosi, richiesta dell autorità giudiziaria. Per i servizi di new media, il limite massimo è un anno. Mediaset è a favore di un principio di data portability, magari da integrare per via autoregolamentare alla legislazione esistente Sensibilizzazione Mediaset concorda con la necessità di finanziare attività di sensibilizzazione in merito alla protezione dei dati (un occasione più che opportuna per una campagna istituzionale verrà fornita nelle prossime settimane dall attivazione del Registro delle opposizioni un elenco che raccoglie le utenze degli abbonati presenti negli elenchi telefonici pubblici che non desiderano più essere contattati per scopi commerciali, promozionali o per il compimento di ricerche di mercato tramite l'uso del telefono, che va a modificare significativamente il regime di opt-in finora in vigore). In questo senso molto può essere fatto a livello auto-regolamentare e co-regolamentare: segnaliamo, ad esempio, la campagna di sensibilizzazione recentemente promossa dal Garante italiano per la protezione dei dati personali in merito ai servizi si social networking Social network: attenzione agli effetti collaterali Garantire un consenso libero e informato Mediaset concorda sulla necessità di massima di rendere più chiare e rafforzare, magari per via auto/co-regolamentare, le norme sul consenso soprattutto in ambienti online. Potrebbe essere utile prevedere un contenuto standard d informativa UE per Internet (adulti e minorenni). In Italia al momento vige un sistema misto di consenso scritto e tacito ma solo per i casi previsti dall art. 24 del Codice. 5

6 2.1.6 Proteggere i dati sensibili Non sembra opportuno al momento allargare ulteriormente le categorie di dati che debbano essere considerati sensibili, mentre potrebbe essere utile intervenire per una maggiore armonizzazione delle condizioni di trattamento delle categorie già considerate sensibili (in Italia rientrano nei dati sensibili i dati relativi all'origine razziale ed etnica, alle convinzioni religiose, filosofiche o di altro genere, alle opinioni politiche, all'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, e i dati giudiziari) Rendere più efficaci i mezzi di ricorso e le sanzioni In Italia, l impugnazione dei provvedimenti del Garante può avvenire solo innanzi al giudice ordinario. Un ampliamento delle competenze e un rafforzamento dei poteri dell Autorità in tal senso sono sicuramente auspicabili e ben accolte da Mediaset. Per quanto riguarda il sistema sanzionatorio, riportiamo, in allegato, uno schema in cui sono classificate a seconda del tipo di violazione le sanzioni amministrative e pecuniarie previste dal Codice recentemente modificato (cf. Allegato 1). Mediaset ritiene che le disposizioni esistenti in materia di mezzi di ricorso e sanzioni siano sufficientemente articolate e non necessitino di ulteriore inasprimento/rafforzamento. 2.2 Rafforzare la dimensione mercato interno Accrescere la certezza giuridica e assicurare condizioni eque ai responsabili del trattamento Mediaset auspica una maggiore armonizzazione delle nome di protezione dei dati a livello comunitario. 6

7 2.2.2 Ridurre gli oneri amministrativi Per quanto riguarda l Italia, i costi e gli oneri amministrativi a carico dei responsabili del trattamento non sono così significativi da richiedere un ulteriore riduzione o adeguamento (150 per notifica, modifica o cancellazione dei dati a carico dei responsabili del trattamento). Inoltre, un sistema di registrazione uniforme è già operativo presso l Autorità garante Chiarire le norme relative al diritto applicabile e alle competenze degli Stati membri Mediaset ritiene che il criterio più idoneo per la definizione del diritto applicabile al responsabile del trattamento sia lo Stato di residenza del titolare, se UE; in tutti i casi di trattamenti extra UE, la residenza dell interessato Ampliare gli obblighi del responsabile del trattamento Mediaset ritiene che la nomina di un incaricato (Responsabile in Italia) della protezione dei dati indipendente non debba avere carattere obbligatorio. Piuttosto si auspica una maggiore consapevolezza degli incaricati circa le finalità e modalità di trattamento, nonché delle misure di sicurezza applicate dal Responsabile (in Italia il Titolare), da realizzare attraverso un aggiornamento formativo obbligatorio almeno una volta all anno, ovvero attraverso istruzioni rinnovate periodicamente. Per quanto riguarda la valutazione di impatto della protezione dei dati, Mediaset è già obbligata per legge ad un analisi del rischio Incoraggiare le iniziative di autoregolamentazione ed esplorare regimi di certificazione dell UE Mediaset concorda con la possibilità di incoraggiare iniziative di autoregolamentazione e auspica la fattibilità di regimi europei di certificazione. 7

8 2.4 La dimensione globale della protezione Chiarire e semplificare le norme applicabili ai trasferimenti internazionali di dati Mediaset concorda sulla necessità di migliorare e semplificare le attuali procedure per i trasferimenti internazionali di dati e auspica che siano definiti i criteri di valutazione dell adeguatezza e gli elementi essenziali di protezione dei dati che potrebbero figurare in tutti i tipi di accordi internazionali Promuovere principi universali Mediaset accoglie con favore iniziative volte a promuovere lo sviluppo di elevate norme di protezione dei dati, sia tecniche che giuridiche, e del principio di reciprocità della protezione dei dati nei paesi terzi e a livello internazionale, e a impegnarsi a favore del rafforzamento della cooperazione. 2.5 Rafforzare l assetto istituzionale per un applicazione effettiva delle norme di protezione dei dati Ex art. 153 del Codice, il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione. Il Garante è organo collegiale costituito da quattro componenti di nomina parlamentare. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica, garantendo la presenza di entrambe le qualificazioni. I componenti eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. Eleggono altresì un vicepresidente, che assume le funzioni del presidente in caso di sua assenza o impedimento. Il presidente e i componenti durano in carica sette anni e i loro incarichi non sono rinnovabili; per tutta la durata dell'incarico il presidente e i componenti non possono esercitare, a pena di decadenza, alcuna attività professionale o di consulenza, né essere amministratori o dipendenti di enti pubblici o privati, né ricoprire cariche elettive. 8

9 Mediaset valuta con favore il funzionamento del Gruppo di Lavoro Articolo 29 di cui auspica una ridefinizione dei poteri e funzioni, magari attraverso una rifondazione del Gruppo e una sua istituzionalizzazione. Si potrebbe proporre un assorbimento del Gruppo come divisione del Garante europeo della protezione dei dati. Mediaset S.p.A., Gennaio

10 Sanzioni Violazioni amministrative Articolo Sanzioni ( in uro) Omessa o inidonea informativa all Interessato. 13 Da 6000 a * Violazione delle misure minime di sicurezza 33 Da a Inosservanza di provvedimenti di prescrizione di misure necessarie o di divieto Omessa o inidonea informativa all Interessato per Trattamenti di dati sensibili o giudiziari; o per Trattamenti che presentano rischi specifici; o di maggiore rilevanza del pregiudizio per l Interessato Violazione circa la cessione dei dati 154 comma 1 lett. C e D 13 16, 1b Da a Da a * Da a Comunicazione abusiva di dati relativi alla salute. 84, 1 Da 500 a Omessa o incompleta notificazione 37 e 38 Da a Omessa informazione o esibizione al Garante 150, 2 e 157 Da a Nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per uno o più interessati, o quando la violazione coinvolge numerosi interessati, i limiti minimi e massimi sono applicati nella misura pari al doppio. Le sanzioni possono essere aumentate sino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del trasgressore.

11 Sanzioni Illeciti penali Nocumento procurato da: Trattamento illecito senza consenso dell interessato; Trattamento lesivo di diritti, libertà e dignità dell interessato; Art Sanzioni Comunicazione e diffusione di dati dopo un lasso di tempo superiore al necessario per gli scopi della raccolta o del Trattamento; Trattamento di dati sensibili senza consenso scritto; Trattamento di dati giudiziari; Trasferimento di dati all Estero fuori dall Unione Europea. Falsità nelle dichiarazioni e notificazioni al Garante Omessa adozione delle Misure minime di sicurezza , 34, 35, 36 Reclusione da 6 mesi a 3 anni Arresto fino a 2 anni o ammenda da a