In a world where a large part of the information is disseminated through electronic communication channels, the protection of personal data being transmitted becomes more important.
The content of electronic communications can reveal highly sensitive data about the individuals involved – such as sexual preferences or political opinions. Similarly, metadata derived from electronic communications (e.g. numbers called, websites visited, geolocation, time, date, and duration of a call, etc.) can reveal information about the social relationships, habits, interests, daily activities, or even tastes of the persons concerned.
Respect for the confidentiality of communications and the personal data contained therein represents an essential dimension of the fundamental right to respect for one’s private sphere, recognized by Article 15 of the Italian Constitution and by Article 7 of the Charter of Fundamental Rights of the European Union.
The processing of personal data related to the provision of electronic communication services accessible to the public on public networks, in the Privacy Code (Legislative Decree no. 196/2003), “novated” by Legislative Decree no. 101/2018 (hereinafter also only the “Code”), is dedicated to Title X, headed “Electronic communications”.
With particular reference to the legal bases of the processing, Article 122 of the Code provides that the storage of information in the user’s device, or access to information already stored, is permitted only if the subject has given his consent after being informed in a simplified manner. However, consistently with Art. 6 par. 1 lett. b) of Regulation (EU) 2016/679 (hereinafter also only the “Regulation” or “GDPR”) and in compliance with the principle of minimization referred to in art. 5 par. 1 lett. c) of the same Regulation, the activity of technical storage or access to information already stored is not prohibited if aimed exclusively at carrying out the transmission of a communication over an electronic network, or to the extent strictly necessary to provide the service requested by the user.
With regard to the traffic data of the users of any electronic communication service, i.e. any data processed for the purpose of the transmission of a communication over an electronic communication network or of the relevant billing, Art.123 of the Code establishes that such data must be deleted or made anonymous when they are no longer necessary for the purpose of the transmission of the electronic communication. This measure, aimed at protecting the confidentiality of those who use the telecommunications service, finds exceptions in paragraphs 2 and 3 of the same article, where the provider is allowed to process data strictly necessary for billing purposes in the event of a dispute over the bill or for the claim for payment in the event of interconnection, for a period not exceeding six months, without prejudice to further storage in the event of a dispute in court.
Paragraph 3 of Art. 123 of the Code provides, then, that the provider of an electronic communication service accessible to the public may process users’ data to the extent and for the time necessary for the marketing of electronic communication services or for the provision of value-added services, only if the data subject has given his consent in advance, which may be revoked at any time.
Lastly, with regard to location data relating to users or subscribers of public communication networks or publicly accessible electronic communication services, reference should be made to the provisions of Article 126 of the Code, according to which such data may only be processed if anonymous or if the data subject has given his/her consent in advance, to the extent and for the time necessary for the provision of the service requested. Also, in this case, the consent is revocable at any time.
****
LA TUTELA DEI DATI PERSONALI NEL SETTORE DELLE TELECOMUNICAZIONI
In un mondo in cui gran parte delle informazioni vengono diffuse mediante canali di comunicazione elettronica, assume maggior rilievo la protezione dei dati personali oggetto di trasmissione.
Il contenuto delle comunicazioni elettroniche può, infatti, rivelare dati altamente sensibili in merito alle persone fisiche coinvolte – come preferenze sessuali od opinioni politiche. Analogamente, i metadati derivanti dalle comunicazioni elettroniche (ad es. i numeri chiamati, i siti web visitati, la geolocalizzazione, l’ora, la data e la durata di una chiamata, etc.) consentono di rivelare informazioni riguardanti le relazioni sociali, le abitudini, gli interessi, le attività quotidiane o, anche, i gusti degli interessati.
Il rispetto della riservatezza delle comunicazioni e dei dati personali ivi contenuti rappresenta una dimensione essenziale del diritto fondamentale al rispetto della propria sfera privata, riconosciuto dall’art. 15 della Costituzione Italiana e dall’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea.
Al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche, nel Codice della Privacy (D.Lgs. n. 196/2003), “novellato” dal D.Lgs. n. 101/2018 (di seguito anche solo il “Codice”), è dedicato il titolo X, rubricato “Comunicazioni elettroniche”.
Con particolare riferimento alle basi giuridiche del trattamento, l’art. 122 del Codice prevede che l’archiviazione delle informazioni nel dispositivo dell’utente ovvero l’accesso alle informazioni già archiviate, è consentito solo qualora il soggetto abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Tuttavia, coerentemente con l’art. 6 par. 1 lett. b) del Regolamento (UE) 2016/679 (di seguito anche solo il “Regolamento” o “GDPR”) e nel rispetto del principio di minimizzazione di cui all’art. 5 par. 1 lett. c) del medesimo Regolamento, l’attività di archiviazione tecnica o di accesso alle informazioni già archiviate non è vietata se finalizzata esclusivamente ad effettuare la trasmissione di una comunicazione su di una rete elettronica, ovvero nella misura strettamente necessaria ad erogare il servizio richiesto dall’utente.
Per quanto concerne i dati relativi al traffico degli utenti di un qualsiasi servizio di comunicazione elettronica, ossia qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione, l’art. 123 del Codice stabilisce che tali dati debbano essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica. Questa misura, volta a tutelare la riservatezza di coloro che usufruiscono del servizio di telecomunicazione, trova delle eccezioni nei commi 2 e 3 del medesimo articolo, ove è consentito al fornitore di trattare dati strettamente necessari ai fini di fatturazione in caso di contestazione della fattura o per la pretesa del pagamento in caso di interconnessione, per un periodo non superiore a sei mesi, fatta salva la conservazione ulteriore in caso di contestazione in sede giudiziale.
Il comma 3 dell’art. 123 del Codice prevede, poi, che l’erogatore di un servizio di comunicazione elettronica accessibile al pubblico può trattare dati degli utenti nella misura e per il tempo necessari a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solamente se l’interessato ha preventivamente espresso il proprio consenso, peraltro revocabile in ogni momento.
Da ultimo, riguardo ai dati relativi all’ubicazione riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, si richiama quanto previsto dall’art. 126 del Codice, secondo cui tali dati possono essere trattati solamente se anonimi ovvero se l’interessato ha manifestato previamente il proprio consenso, nella misura e per il tempo necessari per la fornitura del servizio richiesto. Anche in questo caso, il consenso è revocabile in ogni momento.