L’EDPS opinion su net neutrality, traffic management e protezione dei dati personali

0

Molto spesso, negli ultimi anni, le mie riflessioni su problematiche in materia di protezione di dati personali si sono scontrate, dibattute e (ahimè) sgretolate di fronte alla carenza di un espresso riconoscimento della privacy (in senso lato) come diritto fondamentale.
 
Ieri, leggendo la meritoria opinion di Peter Hustinx sui rapporti tra net neutrality, traffic management e protezione della privacy, ho capito che una costituzionalizzazione forte del diritto alla tutela dei dati personali, dove per forte intendo un suo inserimento tra le libertà inviolabili, è necessaria ma non sufficiente senza il contestuale riconoscimento, quale diritto altrettanto fondamentale, del diritto di accesso ad internet.
 
Ma procediamo con ordine.
L’opinion dell’European Data Protection Supervisor del 7 ottobre scorso è, per sua stessa dichiarazione (§ 2), la reazione del Garante alla Commissione europea che, nella Comunicazione del 19 aprile 2011 su open internet e net neutrality aveva assunto un approccio cd. “wait and see”, basato cioè sulla piena e passiva fiducia nell’autoregolamentazione del libero mercato, approccio che il Supervisor considera inidoneo a proteggere i cittadini da (illegittime) restrizioni al libero accesso ad internet.
 
Il parere esamina nel dettaglio, pur senza pretesa di esaustività, le più note policies di traffic management operate dagli access provider, individuando per ognuna il relativo inquadramento normativo.
Sviluppando l’argomento sotto il profilo della tutela dei dati personali, l’EDPS analizza, in particolare, quanto previsto a proposito delle tecniche di monitoraggio, filtraggio ed ispezione del traffico e del contenuto delle comunicazioni in rete dalla direttiva e-privacy (Dir 2002/58/CE).
In quest’ottica, trovano giustificazione normativa i trattamenti di dati:
1. necessari per la trasmissione di una comunicazione (articolo 6);
2. necessari per garantire la sicurezza del servizio (articolo 4);
3. necessari per ridurre al minimo la congestione della rete (considerando 22, nella parte in cui fornisce l’interpretazione autentica dell’articolo 5 relativo al divieto di archiviazione, salvo che per fini di trasmissione e per il tempo strettamente necessario alla trasmissione stessa.
A questi trattamenti possono essere aggiunti quelli eseguiti ex lege dagli ISP ai sensi dell’articolo 15 per finalità di salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica, nonché per la prevenzione, la ricerca, l’accertamento ed il perseguimento dei reati (si pensi alle operazioni di intercettazione disposte dall’Autorità giudiziaria e agli obblighi di data retention previsti dalla direttiva Frattini).
Detti trattamenti possono riguardare non solo i pacchetti che contengono l’header, ovverosia i dati relativi alla fonte ed al destinatario della comunicazione (ipotesi 1), ma anche pacchetti che contengono i payload data, ovverosia i dati relativi al contenuto, sebbene frazionato, della comunicazione: i secondi sono sicuramente maggiormente intrusivi, ma anche i primi possono diventarlo nella misura in cui, si pensi ad esempio all’accesso ad un sito web, l’identificazione del destinatario della comunicazione è, di per se sola, idonea a rivelare scelte, gusti o tendenze del mittente.
Il limite della disciplina normativa di cui sopra sta nel fatto che la direttiva non prevede, nè potrebbe farlo, quali siano, nello specifico, i dati che gli ISP possono lecitamente trattare per gli adempimenti legati al servizio di connettività fornito.
L’EDPS individua pertanto come parametro di riferimento, modulabile case by case, il principio di proporzionalità espresso dall’articolo 6, comma 1, lett. c) della direttiva privacy (Dir. 95/46/CE), secondo cui i dati trattati debbono essere adeguati, pertinenti e non eccedenti rispetto alle finalità del trattamento del controller (titolare, in italiano).
Il Garante auspica quindi che, in applicazione del principio di proporzionalità, gli ISP adottino di preferenza, tra varie soluzioni tecniche prospettabili, quelle meno intrusive (e.g., monitoraggio degli IP header prevalenti su deep packet inspection, e, quando si ricorre alla dpi, ispezione limitata ai soli protocolli di trasmissione).
 
Ma il vero problema per la net neutrality non sono tanto i monitoraggi previsti ed autorizzati dalla direttiva per il corretto funzionamento del servizio, quanto quelli posti in essere dagli ISP per ragioni diverse (dal behavior advertising ad una scala di priorità/velocità di trasmissione a seconda del contenuto) con il consenso dell’interessato.
Il dato normativo di riferimento è rappresentato dall’articolo 5 della direttiva e-privacy, il quale prevede che l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico sono vietati senza il consenso degli utenti, concetto ulteriormente specificato nell’articolo 6 laddove viene riconosciuta, col consenso dell’interessato, la liceità di trattamenti di dati di traffico per fini di commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto (che il considerando 18 individua, a titolo esemplificativo, in consigli su pacchetti tariffari meno costosi, orientamento stradale, informazioni sul traffico, previsioni meteorologiche, informazioni turistiche).
Il consenso, dunque, scrimina il trattamento da parte degli ISP di dati di traffico e contenuto.
L’EDPS richiama sul punto la disciplina dettata dalla direttiva privacy, recentemente approfondita dal WP29 nell’opinion 15/11, sottolineando come il consenso, per essere considerato valido, debba essere libero, specifico ed informato.
Ma come può essere considerato libero, sostiene il Garante europeo, un consenso che mette l’utente in condizione di dover accettare il monitoraggio delle sue comunicazioni per avere il servizio di accesso alla rete? Si tratta, invero, di una non scelta perché l’alternativa al monitoraggio sarebbe la rinuncia alla connessione, il che non è accettabile atteso che “the Internet has become an essential tool both for work and for leisure purpose”.
 
Ma il Garante va oltre affermando che la Commissione europea dovrebbe sostituire l’approccio non interventista adottato con uno attivo di controllo dei mercati al fine di scongiurare che gli ISP condizionino l’accesso al servizio internet offerto all’accettazione a parte degli utenti di tecniche di monitoraggio.
 
Tre le osservazioni di carattere generale stimolate dalla lettura dell’opinion dell’EDPS.
 
Primo. Il concetto di consenso, uno dei sei pilastri attorno a cui gravita l’intera disciplina della tutela dei dati personali, risulta ormai (ma non lo è forse sempre stato?) inadeguato rispetto all’autodeterminazione dell’interessato circa il trattamento dei suoi dati, specie laddove le condizioni generali di contratto di un controller in posizione dominante non consentano di fatto una reale possibilità di scelta alla controparte contrattuale.
 
Secondo. L’assunto secondo cui la tutela dei dati personali in relazione ai trattamenti effettuati da soggetti pubblici, vincolati solo alla legge, esige ormai un riconoscimento costituzionale del diritto alla protezione dei dati personali (essendo insufficiente, per esempio in Italia, l’inquadramento del diritto nel concetto di riservatezza, riconducibile all’art.2 della Costituzione, per risolvere questioni in materia di videosorveglianza e biometria) mentre per i trattamenti effettuati da soggetti privati sono sufficienti i meccanismi (tra cui il consenso informato) previsti dalla vigente legislazione secondaria, non è più del tutto soddisfacente.
Il sistema di tutela apprestato dalle direttive privacy, la cui ratio si fonda sul principio cardine proprio del secondo pilastro della libera circolazione dei beni e dei servizi, non è infatti più in linea con l’attuale realtà della moderna società dell’informazione in cui i dati personali (che sono, per definizione, delle informazioni) concernono sempre più spesso le persone nella loro essenza (cd. corpo digitale) andando ad incidere sulle libertà fondamentali di circolazione, domicilio, comunicazione con risvolti che giungono a minare sin anche la libertà personale.
In quest’ottica, l’espressa previsione all’articolo 8 della Carta dei diritti fondamentali dell’Unione europea del diritto alla protezione dei dati di carattere personale con i suoi corollari di lealtà, finalità e consenso al trattamento costuisce sicuramente un passo avanti nella giusta direzione, ma una profonda revisione delle direttive privacy è divenuta un’esigenza ormai improcrastinabile.
 
Terzo. L’argomentazione dell’EDPS secondo cui il consenso degli utenti ad attività di monitoraggio da parte dell’ISP non è libero se e quando l’unica alternativa è la rinuncia al servizio stesso, è logicamente impeccabile e moralmente ineccepibile, manca però (sic!) di fondamento giuridico perché si basa sul presupposto che internet sia riconosciuto come un bene comune ed il suo accesso un diritto fondamentale.
Allo stato, dunque, la tesi del Garante europeo si risolve in una mera petizione di principio in quanto in assenza di un riconoscimento giuridico formale del diritto di accesso ad internet non ci può essere tutela effettiva per l’utente che non intenda accettare condizioni contrattuali che gli impongono di subire tecniche di traffic management.
Nè pare condivisibile la tesi secondo cui il diritto di accesso ad internet, essendo principalmente legato a questioni connesse alla libertà di espressione, possa essere sin d’ora inquadrato e sufficientemente tutelato nell’ambito della libertà di manifestazione del pensiero in quanto, come dimostra ampiamente l’opinion in esame, si tratta di un diritto che coinvolge variegati aspetti della vita dell’uomo.
 
La pregevole opinion del Garante europeo su questo passaggio, a mio parere, perde consistenza fino a perdersi nelle conclusioni che, rispetto alla parte motiva, sono decisamente poco ambiziose.
La net neutrality, infatti, non si garantisce applicando correttamente le direttive privacy in tema di ispezione della rete da parte degli ISP, né con il monitoraggio politico del mercato delle comunicazioni elettroniche e neppure rafforzando il concetto di neutralità della rete mediante provvedimenti legislativi ad hoc sulla specifica materia del traffic managing degli ISP.
O meglio, questi strumenti sono tutti validi, ma non risolvono il problema in nuce.
La net neutrality può essere tutelata pienamente solo attraverso il riconoscimento dell’accesso ad internet quale diritto fondamentale dell’uomo.
E solo il riconoscimento costituzionale del diritto alla protezione dei dati personali e dell’accesso ad internet possono, per contro, garantire il pieno sviluppo della persona e la sua libertà nella nostra società.
 
 
 
 
 
 

Share this article!
Share.

About Author

Leave A Reply