Protezione dei dati e diritti dei consumatori (discussione)
Presidente
L'ordine del giorno reca la dichiarazione della Commissione sulla protezione dei dati e diritti dei consumatori.
Franco Frattini
Signor Presidente, desidero iniziare sottolineando che la nostra direttiva 95/46/CE (la direttiva sulla protezione dei dati) si applica ai responsabili del trattamento stabiliti all'interno della Comunità, nonché ai responsabili del trattamento non stabiliti sul territorio di uno Stato membro quando tale responsabile del trattamento utilizza un'apparecchiatura situata sul territorio di uno Stato membro, a meno che tale apparecchiatura sia utilizzata solo a scopo di transito attraverso il territorio della Comunità.
La direttiva garantisce i diritti a tutti i singoli, indipendentemente dalla nazionalità o dal luogo di residenza e a prescindere dal fatto che agiscano o meno in qualità di consumatori. Definisce disposizioni sostanziali che impongono obblighi ai responsabili del trattamento e che riconoscono i diritti dei singoli. Prevede altresì sanzioni e ricorsi giurisdizionali adeguati in caso di violazione e istituisce meccanismi di applicazione ai fini della loro efficacia.
Seguiamo da vicino gli sviluppi tecnologici e le sfide ad essi associate, relativi in particolar modo alla tutela della vita privata e dei dati personali. Per quanto concerne la cooperazione transnazionale, manteniamo contatti regolari con le autorità statunitensi responsabili del controllo della sfera della sicurezza - il ministero del Commercio e la Federal Trade Commission - nel cui ambito vengono affrontate le questioni relative alla protezione dei dati personali. Vengono altresì esaminate le questioni poste dalle nuove tecnologie e dalla loro diffusione a livello mondiale.
In questo caso specifico, e cioè la fusione di Google e DoubleClick, la Commissione sta ancora esaminando il caso al fine di decidere se la fusione prevista sia in linea con il regolamento (CE) n. 139/2004 (il "regolamento sulle concentrazioni”). Presto adotteremo una decisione. Si può dire, tuttavia, che la Commissione ha condotto un'analisi dettagliata degli aspetti economici sollevati dalla fusione proposta, al fine di determinare se sia compatibile con le regole in materia di mercato comune.
Le imprese sono tenute al rispetto delle leggi nazionali sulla protezione dei dati, che danno attuazione alla direttiva sulla protezione dei dati, mentre le autorità nazionali per la protezione dei dati sono gli enti responsabili di garantirne il rispetto da parte di quelle entità che trattano i dati personali all'interno del loro territorio.
Una fusione tra diverse entità non esonera le parti coinvolte dai loro obblighi nel quadro dei principi nazionali sulla protezione dei dati. Senza dubbio qualsiasi decisione la Commissione possa prendere per approvare una concentrazione non pregiudicagli obblighi imposti alle parti dalla legislazione comunitaria in materia di tutela della vita privata relativamente al trattamento dei dati personali.
A prescindere dall'approvazione dell'operazione di concentrazione, la nuova entità, nelle sue attività quotidiane, dovrà rispettare i diritti fondamentali riconosciuti da tutti gli strumenti pertinenti, tra cui, ma non solo, la vita privata e la protezione dei dati. Viene pertanto attribuito alle autorità nazionali per la protezione dei dati il compito di garantire tale osservanza e, se necessario, di intraprendere le misure appropriate per la sua attuazione.
Manfred Weber
a nome del gruppo PPE-DE. - (DE) Signor Presidente, signor Vicepresidente della Commissione, onorevoli colleghi, Internet è una benedizione. Oggi nessuno di noi può immaginare di lavorare senza questa nuova tecnologia. Permette anche uno scambio di dati su una scala impressionante. Nulla, tuttavia, è perfetto e i difetti diventano chiari quando miliardi di file vengono conservati per lunghi periodi di tempo.
Nel caso in esame, il Commissario Frattini ha chiarito che doveva essere attivato il quadro giuridico dell'Unione europea al fine di esaminare la fusione di Google e DoubleClick. Dovremo attendere i risultati di tale esame e solo allora trarre le nostre conclusioni politiche.
Si pone tuttavia la questione fondamentale riguardo a come far fronte alla protezione dei dati in Internet, poiché le imprese che utilizzano la rete, grandi o piccole, non sono indifferenti in merito a come vengono protetti i loro dati. La risposta non è semplice, dato che al cuore del problema vi è ancora una domanda senza risposta e cioè se l'indirizzo di un protocollo Internet costituisca o meno un'informazione personale. Nel caso dei fornitori di accesso a Internet che attribuiscono indirizzi statici lo è, ma con una pluralità di altri fornitori l'indirizzo IP non rivela automaticamente l'identità dell'utente. In tali casi, riteniamo che vi sia effettivamente una perdita netta di protezione dei dati, dato che i dati raccolti possono persino essere rivelati a terzi.
Se vi è il bisogno di norme giuridiche va sempre giudicato alla luce della necessità e della proporzionalità. Pubblicando i loro dati, gli utilizzatori ottengono senza dubbio numerosi vantaggi. Il punto fondamentale è che prendono la decisione consapevole di trasmettere i loro dati e possono determinare come questi ultimi debbano essere utilizzati, il che significa che gli utenti devono godere del diritto di informazione, e cioè il diritto di sapere quali dati che li riguardano vengono conservati. Devono pertanto esistere regole chiare che disciplinino il trasferimento e la vendita di dati a terzi.
Per questo motivo, dovremmo iniziare con impegni volontari, preferibilmente adottando un approccio transatlantico, per il semplice fatto che non possiamo regolamentare Internet in assenza di iniziative globali comuni, e qualora gli impegni volontari si rivelassero inadeguati, allora dovremo discutere anche misure di tipo giuridico.
Stavros Lambrinidis
Signor Presidente, quando gli utenti abituali sono on line, non sono consapevoli del fatto che i loro dati personali più sensibili, come le loro convinzioni politiche e filosofiche, le finanze, gli acquisti, i viaggi e gli interessi in generale, vengono registrati mentre eseguono semplici ricerche, compiono acquisti o prendono parte a discussioni. Certo, le imprese private che raccolgono tali dati spesso non sono neppure europee. Oggi né il diritto europeo né gli accordi internazionali impediscono alle grandi imprese private di utilizzare i nostri dati personali. Si può arrivare a dire che nulla impedisce alle autorità di sicurezza di paesi terzi di accedere a tali informazioni. Perché l'Europa ha la responsabilità e il potenziale di essere coinvolta in questa problematica? Perché, come ha correttamente affermato il Commissario Frattini, la direttiva sulla protezione dei dati si applica ai fornitori di servizi elettronici e di Internet all'interno e all'esterno dell'Europa. I nostri dati personali non perdono di importanza e di interesse semplicemente perché un'impresa si trova al di fuori dell'Europa.
Desidero presentare tre proposte specifiche, signor Presidente:
Innanzi tutto, si deve realmente chiedere ai privati cittadini di esprimere il loro consenso alla raccolta, per non parlare dell'utilizzo, dei loro dati personali, come stabilito in ogni caso dalla direttiva citata. Non deve essere indicato in caratteri poco visibili, bensì in modo chiaro ed esplicito. Al momento, anche quei cittadini che desiderano cancellare i loro dati o impedire che vengano condivisi con terzi non sanno di solito come navigare in pagine web disorientanti. I siti sono progettati per essere complicati, così che le imprese che utilizzano strumenti e software particolari possono poi scoprire gli interessi degli utenti e vendere loro prodotti o così che le autorità di sicurezza possano successivamente localizzare gli utenti per ragioni diverse.
In secondo luogo, e sono lieto che il Commissario Frattini l'abbia detto, la Commissione europea deve realmente comprendere che le concentrazioni di tali imprese sono importanti in termini non solo di analisi finanziarie, ma anche di dati personali dei cittadini, di cui viene probabilmente fatto un uso improprio o se ne potrebbe fare in futuro. Non siamo solo una comunità di valuta e mercati; siamo soprattutto una comunità di valori.
Terzo, signor Presidente, e concludo: la discussione di oggi apre un argomento molto vasto, di cui abbiamo intaccato appena la superficie, sebbene riguardi un problema globale. E' necessaria una carta internazionale dei diritti fondamentali degli utenti di Internet. Al momento non esiste nulla del genere. Di questi tempi, tuttavia, il Grande fratello non farà la sua comparsa, signor Presidente, dato che alcune dittature lo collocano lì, ma il Grande fratello farà così perché oggi le nostre intere vite sono registrate sotto forma di tracce elettroniche in Internet. Se noi, tutti insieme, non riusciamo a trovare alcuni principi di base per tutelarci, domani ci sveglieremo in un mondo molto diverso e, credo, molto più brutto, per quanto tutto ci appaia oggi così accessibile, divertente e magico.
Sophia in ''t Veld
Oggi mi sarebbe davvero piaciuto vedere seduta di fianco al Commissario Frattini la sua collega, la signora Commissario Neelie Kroes, perché ritengo che sia superata la rigida differenziazione tra regole del mercato e norme in materia di vita privata. Sappiamo che ci sarà la fusione tra Google e DoubleClick e di sicuro il Parlamento europeo non desidera intromettersi nei dettagli di tale operazione, ma siamo desiderosi di sapere quali garanzie della vita privata verranno offerte. I dati personali sono diventati una questione importante. Informazioni su clienti, utenti e relative abitudini e preferenze offrono alle imprese un vantaggio competitivo inestimabile. La protezione dei dati personali, pertanto, non dovrebbe essere più considerata separata dalla politica di concorrenza.
La Commissione ha optato per un approccio alla concorrenza molto tradizionale, che non è più adeguato a far fronte alla pubblicità comportamentale del XXI secolo. La concorrenza deve includere la tutela della vita privata e del consumatore, se le fusioni risultano in megaimprese, che possiedono numerose informazioni relative ai loro utenti, come ad esempio nel caso di Google/DoubleClick, o potenzialmente nel caso di un legame tra Microsoft e Yahoo, Yahoo e Rupert Murdoch o Reed Elsevier e ChoicePoint e così via.
Si può fare un uso improprio dei dati personali per escludere i nuovi soggetti dal mercato e il punto è che in una situazione competitiva sana il consumatore può insistere sulla tutela della vita privata e le imprese possono essere regolate dai consumatori, com'è accaduto ad esempio per Facebook. Esistono norme anche per la concentrazione dei mezzi d'informazione. Allora perché non inseriamo la tutela della vita privata nella politica di concorrenza? Gli indirizzi IP possono essere considerati dati personali, il che ha potenzialmente implicazioni di ampia portata per l'industria, ma anche per l'utente. Al settore occorrono pertanto con urgenza norme europee, ma soprattutto internazionali. L'Unione europea deve dare l'esempio in tal senso e lavorare sull'intera questione con gli USA, consultandosi con l'industria. Suggerisco pertanto che questo punto venga inserito nell'ordine del giorno del Consiglio economico transatlantico.
Infine, è nell'interesse anche delle imprese che le persone siano certe che la loro vita privata sia tutelata adeguatamente. Proprio ora ho menzionato il caso di Facebook, in cui i consumatori hanno usato la forza perché Facebook fosse più attento in merito alla tutela della vita privata. Esorto pertanto la Commissione europea ad adottare un approccio diverso che combini in un unico insieme la politica di concorrenza, la tutela dei consumatori e la protezione dei dati personali o la della vita privata.
David Hammerstein
Signor Presidente, ci preoccupa questa concentrazione che non è una vera operazione di questo genere è l'unione di due imprese complementari. Un'impresa, Google, che dispone di una miriade di dati, più dati di chiunque altro al mondo, e un'altra impresa, DoubleClick, che ha la capacità di elaborare, manipolare e incanalare tali dati in base alle abitudini dei consumatori.
La questione dovrebbe preoccupare la Commissione europea perché è un matrimonio pericoloso per i cittadini dell'Europa e per la privacy delle nostre abitudini quotidiane. La struttura della concentrazione può mettere in pericolo la privacy, sebbene le autorità nazionali non siano in grado di sapere come vengono manipolati tali dati, né i consumatori sanno dove finiscono i loro dati e come vengono utilizzati da terzi.
Carl Schlyter
(SV) Signor Presidente, il consumatore in Internet si trova indifeso. Se si vogliono utilizzare servizi diffusi, non è possibile selezionare l'opzione "non raccogliere dati su di me” né tanto meno sapere che fine fanno tali informazioni. Si esegue una ricerca, si acquista qualcosa. Se un soggetto e la stessa impresa sono in grado di combinare tutte queste informazioni, è possibile ottenere un enorme vantaggio commerciale e accumulare un gran numero si informazioni su tutti coloro che fanno uso di Internet. La stessa cosa accade quando si desidera scaricare illegalmente un film da Internet, nel qual caso si deve utilizzare il software di una sola impresa, ossia Windows.
Non possiamo proteggerci da queste grandi imprese a meno che i nostri legislatori non ci vengano in aiuto. Il grado di fragilità della protezione dei dati diventa palese quando, ad esempio, viene calcolata anche la lotta contro le violazioni dei diritti d'autore. Il computer di chi condivide file viene ispezionato e tutte le sue informazioni private vengono esaminate. Tali informazioni vengono poi inviate alle imprese che operano nel settore dei mezzi d'informazione per accertare cosa fosse protetto dal diritto d'autore e cosa no. Quando tali imprese hanno accesso al materiale relativo alle indagini di polizia, com'è possibile tutelare i consumatori? E' giunto il momento di imprimere un deciso impulso alla protezione dei dati.
Alexander Alvaro
(DE) Signor Presidente, devo ammettere che apprezzo questo sistema che attira l'attenzione, in particolar modo la parte prima dell'inizio del conto alla rovescia.
Abbiamo senza dubbio molto da discutere nell'ambito della protezione dei dati. Alcuni membri del gruppo dei Verdi ha affrontato la questione dei dati relativi alle imprese private e ai singoli individui. Le fusioni come quella tra Google e DoubleClick solleva certamente alcuni interrogativi. Ciononostante si deve fare attenzione a non confondere una cosa con un'altra. Nel mio paese si dice che per quante rane gracidino, il risultato sarà sempre e soltanto un gracidio. Ciò che intendo dire è che non dovremmo perdere di vista la necessità di comprendere anche i processi tecnici alla base.
Noi - e il mio gruppo politico non costituisce di certo un'eccezione - spesso manifestiamo un interesse particolarmente vivo per le questioni relative a Internet e, naturalmente, alla riservatezza dei dati, cui spesso rispondiamo in modo estremamente emotivo. Se devo capire come funzionano Internet e l'acquisizione dei dati, tuttavia, devo prima comprendere la tecnologia che ne sta alla base.
A tale proposito, ritengo che vi sia molto da dire in merito all'approccio dell'onorevole Weber di accertare innanzi tutto fino a che punto gli indirizzi IP possono essere considerati dati personali ai sensi della direttiva 2002/58 relativa alla vita privata e alle comunicazioni elettroniche, dal momento che in alcuni casi l'indirizzo IP insieme ai dati dell'utente possono indubbiamente costituire la chiave per la raccolta di informazioni personali. D'altro canto, considerato l'attuale stato dello sviluppo tecnologico, in cui un frigorifero, ad esempio, può recuperare una ricetta in Internet automaticamente, la questione di definire se l'indirizzo IP del mio frigorifero costituisca davvero un dato personale è diventata obsoleta.
Eva Lichtenberger
(DE) Signor Presidente, come giustamente affermato dal precedente oratore, è necessario esaminare il contesto tecnologico relativo a tali norme. Siamo di fronte a un caso in qualche modo difficile per il fatto che non rientra completamente nella nozione di diritto della concorrenza, ma che tuttavia coinvolge, sconfinando, una massa critica, che pone seri problemi.
In definitiva, per le autorità nazionali garanti della protezione dei dati e per la normativa in materia di protezione dei dati sarà più che difficile far fronte a ciascuna violazione derivante da tale fusione, dato che i dati trasmessi a DoubleClick saranno trattati ulteriormente secondo modalità del tutto diverse. Ci troviamo di fronte a una difficoltà tecnica che dobbiamo risolvere. Ritengo che la concentrazione di così tanto potenziale nelle mani di un unico gruppo sia estremamente negativo per il mercato, in quanto esclude nuovi concorrenti.
Franco Frattini
Vicepresidente della Commissione. - Signor Presidente, onorevoli deputati, credo anch'io che le preoccupazioni espresse da molti degli oratori siano preoccupazioni condivisibili, nel senso che non abbiamo ancora un soddisfacente sistema di protezione dei dati personali quando guardiamo alle nuove tecnologie, quando guardiamo ad Internet.
Ed è evidente che la stessa attenzione che noi abbiamo alla doverosa protezione dei dati personali durante un'investigazione antiterrorismo la dovremmo avere, se non con ancora maggiore preoccupazione, quando i miei dati personali sono esposti non alle attenzioni di un magistrato ma all'attenzione di un gruppo industriale privato.
Quindi le preoccupazioni sono serie e evidentemente, pur essendo un discorso piuttosto nuovo, l'idea dell'on. Lambrinidis di una sorta di carta mondiale della protezione dei dati è assolutamente coerente con il carattere globale di Internet.
Voi sapete, come vi ho appena ricordato nella mia introduzione, che le regole esistenti si applicano con riferimento al territorio di insediamento di un determinato provider, ma Internet mal tollera questa limitazione territoriale. Quindi io credo che si debba lavorare in quella direzione, come credo che sia importate collegare gli aspetti della concorrenza agli aspetti della politica di tutela dei consumatori, anche con riferimento ai loro dati personali.
E' un discorso che stiamo iniziando, evidentemente, e come sapete la Commissione segue lo sviluppo di tanti settori di protezione dati che sfuggono alla legislazione europea. Mi riferisco all'azione del Consiglio d'Europa, delle Nazioni Unite, della Conferenza internazionale sulla protezione dei dati.
Ma è evidente che vi è un rischio che dobbiamo tenere in considerazione. E' una domanda che ora mi pongo: non vi è il pericolo che una carta mondiale sulla protezione dei dati rischierebbe di indebolire la protezione, dovendosi applicare ad un numero straordinariamente grande di destinatari? Allora è chiaro che semmai dovremmo considerare la nostra legislazione europea come l'esempio - se posso permettermi - da esportare e non accettare regole più deboli di protezione dei dati, solamente perché queste regole si debbono applicare in un ambito territoriale molto ampio.
Vi posso informare, in conclusione, che proprio per cominciare a ragionare in concreto, il cosiddetto "Comitato articolo 29”, che tutti gli addetti ai lavori conoscono, che è appunto un comitato che si occupa di coordinamento delle azioni sulla protezione dei dati, sta lavorando su un'opinione motivata proprio sulla protezione dei dati relativa ai motori di ricerca e ai service providers.
Stiamo affrontando, in altri termini, questo aspetto ed è stato inviato un questionario preparatorio di questa opinione motivata, un questionario sulle politiche di protezione dati e questo questionario è stato mandato a un numero molto grande di responsabili, di gestori di motori di ricerca e di service providers. Io credo che le risposte che saranno raccolte e questa opinione, che posso dirvi sarà pubblicata in tempi piuttosto brevi, io mi auguro prima della pausa estiva, potrà dare forse per la prima volta una risposta coordinata su quali siano i problemi e quali siano le direzioni di marcia da seguire.
Presidente
La discussione è chiusa.
Dichiarazioni scritte (articolo 142)
Silvia-Adriana Ţicău  
Oggigiorno sempre più cittadini europei ricorrono ai servizi della società dell'informazione, che si tratti di servizi finanziari, sistemi di trasporto intelligente, sistemi di pedaggio per l'utilizzo di infrastrutture stradali, sistemi computerizzati per la sanità, Internet, videocamere di sorveglianza e controllo o utilizzo di dati biometrici. La sicurezza di tali servizi è fondamentale per la fiducia dell'utente.
La sicurezza delle reti elettroniche e dei sistemi computerizzati, insieme alle tecnologie volte al miglioramento della protezione dei dati personali, costituiscono la principale preoccupazione della strategia per una società dell'informazione sicura, adottata dalla Commissione nel 2006. In una comunicazione del maggio 2007, la Commissione ha presentato i rischi potenziali relativi all'utilizzo della tecnologia dell'informazione, quali il furto d'identità, la sorveglianza o persino la frode.
Al fine di ottenere una società dell'informazione più sicura, i prodotti e i servizi specifici dovrebbero comprendere meccanismi per la protezione dei dati persino fin dalla fase di progettazione. E' altresì necessario che le procedure e i principi applicabili per far sì che vi sia sicurezza nella società dell'informazione siano definiti e accessibili a tutti coloro coinvolti nella progettazione, nel funzionamento e nell'utilizzo dei sistemi computerizzati. Chiedo alla Commissione di esaminare la necessità di taluni regolamenti comunitari in materia di sicurezza dei servizi di comunicazioni elettroniche e dei servizi computerizzati.
Qualsiasi fornitore di servizi specifici della società dell'informazione è tenuto a osservare la normativa nazionale e internazionale in materia di protezione dei dati.
