Indice
Testo dell'articoloVigente
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Vedi anche
→art. 2-septies CODICE→art. 2-octies CODICE→art. 2-decies CODICE→art. 3 CODICE→art. 51 CODICE→Reg. UE 2016/679 (GDPR) - Disciplina europea sulla protezione dei dati→Cost. art. 14 - Inviolabilità del domicilio→Cost. art. 15 - Libertà e segretezza delle comunicazioni→Art. 2-undecies D.Lgs. 196/2003 – Limitazioni ai diritti dell’interessato→Art. 2-duodecies D.Lgs. 196/2003 – Trasferimenti di dati oggetto di trattamento verso paesi terzi o organizzazioni internazionali→Art. 2-sexies D.Lgs. 196/2003 – Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante→Art. 2-quinquiesdecies D.Lgs. 196/2003 – Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
In sintesi
Indice dei contenuti
L'articolo 2-novies del Codice della privacy si colloca nel reticolo di disposizioni che, dopo la riforma operata dal D.Lgs. 10 agosto 2018, n. 101, hanno ricucito il tessuto del D.Lgs. 196/2003 attorno al Regolamento (UE) 2016/679. La rubrica - relativa alle disposizioni per il funzionamento della rete pubblica di telecomunicazioni - segnala immediatamente che ci troviamo in un settore in cui la protezione dei dati personali non vive in isolamento, ma si intreccia con la regolazione delle infrastrutture e dei servizi di comunicazione elettronica. Comprendere questa norma significa innanzitutto saper distinguere il piano della tutela della riservatezza da quello, contiguo ma autonomo, della regolazione tecnica delle reti.
La collocazione sistematica dopo il D.Lgs. 101/2018
Con l'entrata in applicazione del GDPR, il legislatore italiano ha scelto di non abrogare il Codice privacy, ma di ridisegnarlo come testo di adeguamento e coordinamento. In questa operazione sono comparse numerose disposizioni con numerazione bis, ter, quater e così via fino a novies, segno di un innesto progressivo dentro una struttura preesistente. L'art. 2-novies appartiene a questa famiglia: non introduce un principio nuovo e autonomo, ma serve a tenere insieme il regime generale del trattamento dei dati con le esigenze specifiche del settore delle telecomunicazioni, dove la circolazione di metadati e dati di traffico è massiva e continua.
Il rapporto con il Codice delle comunicazioni elettroniche
La disciplina della rete pubblica non può prescindere dal D.Lgs. 1 agosto 2003, n. 259 (Codice delle comunicazioni elettroniche), che definisce nozioni cardine come rete pubblica di comunicazioni, servizio di comunicazione elettronica accessibile al pubblico e fornitore. Quando il Codice privacy richiama il funzionamento della rete pubblica, presuppone queste definizioni: il professionista che voglia ricostruire la portata applicativa della norma deve dunque muoversi su due testi paralleli, evitando di trattare la protezione dei dati come una materia chiusa. La rete è l'infrastruttura; il dato che vi transita è l'oggetto della tutela.
La direttiva ePrivacy come sfondo europeo
Sul piano sovranazionale, il riferimento ineludibile è la direttiva 2002/58/CE (cosiddetta ePrivacy), che disciplina il trattamento dei dati personali nel settore delle comunicazioni elettroniche: riservatezza delle comunicazioni, dati di traffico, dati relativi all'ubicazione, comunicazioni indesiderate. Il GDPR funge da regime generale, mentre la direttiva ePrivacy opera come lex specialis per il settore. L'art. 2-novies si inserisce in questa logica di specialità, contribuendo a chiarire che le regole sul funzionamento della rete pubblica non possono comprimere il nucleo di tutela della riservatezza riconosciuto a livello europeo.
I soggetti obbligati e la sicurezza dei servizi
Destinatari diretti della disciplina sono i fornitori di servizi di comunicazione elettronica accessibili al pubblico e gli operatori che gestiscono reti pubbliche. Su di essi gravano obblighi rafforzati di sicurezza, integrità e confidenzialità: misure tecniche e organizzative adeguate, gestione delle violazioni, conservazione misurata dei dati di traffico. La logica è quella della responsabilizzazione (accountability) propria del GDPR, calata però in un contesto in cui il volume e la sensibilità dei dati richiedono attenzioni ulteriori, come la cifratura dei flussi e la limitazione degli accessi interni.
Il bilanciamento con esigenze pubbliche
Il settore delle telecomunicazioni è da sempre terreno di bilanciamento tra riservatezza individuale ed esigenze di ordine pubblico, sicurezza nazionale e accertamento dei reati. Le disposizioni sul funzionamento della rete pubblica devono perciò convivere con le norme che, a determinate condizioni e con garanzie, consentono l'acquisizione di dati a fini di giustizia. Il punto di equilibrio è presidiato dal principio di proporzionalità: ogni limitazione della riservatezza deve essere prevista dalla legge, necessaria e proporzionata allo scopo perseguito.
Dati di traffico, metadati e principio di minimizzazione
Nel settore delle telecomunicazioni la massa di informazioni piu delicata non e tanto il contenuto delle comunicazioni, quanto i dati di traffico e di ubicazione che si generano automaticamente a ogni connessione: chi ha comunicato con chi, quando, da dove, per quanto tempo. Si tratta di metadati che, aggregati, consentono di ricostruire abitudini, relazioni e spostamenti delle persone. Per questo la disciplina impone una conservazione limitata nel tempo e ancorata a finalita predeterminate, in coerenza con il principio di minimizzazione di cui all'art. 5 del GDPR. Il funzionamento della rete pubblica non puo tradursi in un accumulo indiscriminato di dati: ogni trattamento deve essere giustificato, proporzionato e temporalmente circoscritto.
Le violazioni dei dati personali nel settore TLC
Il settore delle comunicazioni elettroniche e stato storicamente il primo a conoscere obblighi specifici di notifica delle violazioni, anticipando la disciplina generale poi consacrata dagli artt. 33 e 34 del GDPR. I fornitori sono tenuti a gestire gli incidenti di sicurezza con procedure strutturate: rilevazione tempestiva, valutazione del rischio per i diritti degli interessati, notifica all'autorita di controllo e, nei casi piu gravi, comunicazione agli utenti coinvolti. Il funzionamento ordinato della rete pubblica presuppone dunque non solo misure preventive, ma anche un'organizzazione capace di reagire con rapidita quando la sicurezza viene compromessa.
Indicazioni operative per l'interprete
Chi si confronta con questa norma dovrebbe procedere per cerchi concentrici: partire dalle definizioni del Codice delle comunicazioni elettroniche, verificare gli obblighi generali del GDPR, applicare la specialità della disciplina ePrivacy e, infine, calare il tutto nelle disposizioni di coordinamento del Codice privacy. È un esercizio di integrazione normativa, più che di lettura isolata di un singolo articolo. Per il fornitore, ciò si traduce in policy interne, registri dei trattamenti aggiornati e procedure di gestione degli incidenti che tengano conto sia della disciplina generale sia di quella settoriale. La verifica periodica della conformita, attraverso audit interni e aggiornamento delle misure tecniche, completa il quadro degli adempimenti richiesti a chi opera sulla rete pubblica.
Massime di Cassazione
Cass. Corte Cost., sent. n. 271/2005
Perché è importante: Riservatezza come diritto inviolabile
Prassi dell'Agenzia delle Entrate
Disciplina generale
Hub del Garante per la protezione dei dati personali: disciplina del D.Lgs. 196/2003 coordinato con il GDPR.
Casi pratici
Caso 1: l'operatore di rete e la gestione del data breach
Tizio gestisce una rete pubblica di comunicazioni e subisce un accesso non autorizzato ai server che custodiscono i dati di traffico. In linea generale e tenuto ad attivare le procedure di gestione della violazione, valutando la notifica all'autorita di controllo e, se del caso, la comunicazione agli utenti, oltre a documentare l'incidente e le misure correttive adottate.
Caso 2: il fornitore di servizi e la conservazione dei metadati
Caio offre un servizio di comunicazione elettronica accessibile al pubblico e si interroga sui tempi di conservazione dei dati di traffico. Tipicamente deve limitare la conservazione a quanto necessario per le finalita consentite dalla legge, impostando criteri di cancellazione e accessi tracciati, in coerenza con i principi di minimizzazione e limitazione della conservazione.
Domande frequenti
Che cosa disciplina l'art. 2-novies del Codice privacy?
Detta disposizioni di coordinamento per il funzionamento della rete pubblica di telecomunicazioni, raccordando la tutela dei dati personali con la regolazione delle reti e dei servizi di comunicazione elettronica.
Perche l'articolo ha la numerazione novies?
Perche e stato innestato nel Codice privacy dal D.Lgs. 101/2018 in sede di adeguamento al GDPR, insieme ad altre disposizioni con numerazione bis, ter e successive.
Chi sono i destinatari della norma?
Tipicamente i fornitori di servizi di comunicazione elettronica accessibili al pubblico e gli operatori che gestiscono reti pubbliche di telecomunicazioni.
Qual e il rapporto con la direttiva ePrivacy?
La direttiva 2002/58/CE opera come disciplina speciale per il settore delle comunicazioni elettroniche, mentre il GDPR resta il regime generale: l'articolo si inserisce in questa logica di specialita.
La norma consente l'accesso ai dati per esigenze di giustizia?
Il funzionamento della rete deve convivere con le previsioni che, a determinate condizioni e con garanzie, consentono l'acquisizione di dati a fini di sicurezza e accertamento dei reati, nel rispetto del principio di proporzionalita.