di Giusella Finocchiaro e Laura Greco Sommario: 1. Premessa 2. Gli ostacoli; 2.1.…
La disciplina della data protection in Brasile e l’introduzione della legge n. 12.965/14, c.d. Marco Civil da Internet
Abstract
The aim of this contribution is to study the Brazilian regulatory framework regarding the protection of personal data with particular reference of the law n. 12.965/14, c.d. Marco Civil da Internet. This measure is a law that establishes principles, guarantees, rights and duties for the use of internet in Brazil.
Il presente contributo esamina il quadro normativo, vigente in Brasile, in materia di protezione dei dati personali, con particolare riferimento all’adozione della legge n. 12.965/14, c.d. Marco Civil da Internet. Tale provvedimento è una legge che stabilisce principi, garanzie, diritti e doveri per l’utilizzo della rete internet in Brasile.
Sommario: 1. Introduzione. – 2. La disciplina vigente in Brasile in materia di protezione dei dati personali. – 3. La legge n. 12.965/14, c.d. Marco Civil Da Internet. – 4. Ambito di applicazione della disciplina introdotta dal Marco Civil da Internet. – 5. L’obbligatorietà del consenso dell’utente al trattamento dei propri dati. – 6. Tutela della privacy nelle comunicazioni via e-mail e misure volte a garantire la sicurezza dei dati immessi sul web. – 7. Trasferimento transfrontaliero dei dati. – 8. Conclusioni.
1. Introduzione.
Mentre in Italia si continua a discutere circa l’opportunità di dotarsi di un Bill Of Rights della rete ovvero della necessità di introdurre a livello costituzionale delle disposizioni volte al riconoscimento, ad esempio, dell’accesso ad internet quale diritto sociale [1], stante l’importanza ormai acquisita nell’ambito dell’economia digitale dalla tematica della tutela dei diritti degli utenti del web, oltre oceano, in Brasile, torna ad essere oggetto di discussione la legge n. 12.965/14, c.d. Marco Civil da Internet, emanata dalla Presidente Dilma Rousseff, il 23 aprile del 2014, ed entrata in vigore a partire dal 23 giugno del medesimo anno[2].
Il 28 gennaio del 2015 il Ministero della Giustizia brasiliano ha dato il via ad un nuovo dibattito pubblico sulla regolamentazione afferente alla citata normativa al fine di raccogliere, in modo democratico e partecipativo, i contributi dei vari soggetti interessati [3]. Nello specifico, il predetto dibattito avrà ad oggetto, oltre alle disposizioni attuative del Marco Civil da Internet anche la tematica relativa alla protezione dei dati personali visto che il progetto di legge sulla privacy è già in cantiere, in Brasile, da un paio d’anni.
E’ opportuno, però, procedere con ordine, ovvero analizzare, prima delle disposizioni innovative, introdotte dal Marco Civil da internet in materia di protezione dei dati sul web la cornice normativa, nella quale si è inserito tale provvedimento, così da poterne cogliere appieno gli aspetti innovativi.
2. La disciplina vigente in Brasile in materia di protezione dei dati personali.
In Brasile i principi generali in materia di protezione dei dati personali sono rinvenibili nella Costituzione Federale, emanata il 5 ottobre del 1988, laddove sono consacrati come diritti fondamentali il diritto all’intimità, alla vita privata, all’onore ed all’immagine delle presone. La violazione di tali principi attribuisce al cittadino, secondo quanto disposto in Costituzione, il diritto al risarcimento dei danni morali e/o materiali subiti [4].
Viene fatto, poi, esplicito riferimento anche al diritto alla segretezza ed inviolabilità delle comunicazioni che avvengono telegraficamente o telefonicamente, potendo le stesse essere utilizzate solo previo provvedimento del giudice nelle forme stabilite dalla legge penale ai fini di investigazione criminali [5].
La Costituzione Federale, istituisce, altresì l’azione volta alla tutela dei c.d. habeas dada ovvero la possibilità attribuita al cittadino di esercitare il diritto d’accesso e di modificare e/o rettificare i dati in possesso di entità governative o istituzioni pubbliche [6].
I suddetti principi sono stati, poi, trasposti nelle disposizioni del Codice Civile brasiliano che all’art. 21, stabilisce l’inviolabilità della vita privata della persona, nonché, la possibilità di richiedere, da parte del titolare del diritto, l’intervento del giudice per impedire e/o far cessare violazioni del medesimo diritto [7]. La raccolta e l’uso non autorizzato dei dati personali potrebbero, quindi, dar luogo a violazioni della privacy e a conseguenti provvedimenti d’ingiunzione ovvero d’attribuzione di una potenziale responsabilità per danni.
Ulteriori disposizioni in materia di protezione dei dati personali sono rinvenibili nel Codigo de Difesa do Consumidor (di seguito anche Codice di difesa del consumatore o Codice) che ha rappresentato finora, la fonte normativa più moderna ed efficace dell’ordinamento brasiliano, per quanto attiene alla tematica della protezione dei dati, stabilendo, per il consumatore, una serie di diritti e garanzie finalizzate a preservare le informazioni personali presenti in registri e banche dati [8].
In particolare, le norme contenute nel Codice di difesa del consumatore attribuiscono a quest’ultimo, per quanto attiene specificamente ai rapporti con i fornitori di beni e servizi, il diritto di accedere alle informazioni che lo riguardano, laddove tali informazioni siano state archiviate in registri o database di consumo [9]. I registri e database, inoltre, secondo quanto stabilito sempre dal Codice, devono avere un linguaggio di facile comprensione e i dati del consumatore devono essere a loro volta chiari, veritieri ed obiettivi, non potendo contenere informazioni pregiudizievoli per il consumatore per un periodo superiore a cinque anni [10]. Le imprese che svolgono attività di raccolta e/o archiviazione dei dati, devono, poi, informare il consumatore per iscritto dell’apertura di un registro o di una banca dati, laddove ciò lo riguardi e nel caso in cui tale raccolta non sia stata sollecitata dallo stesso consumatore [11]. Occorre, però rilevare come non sia affatto chiaro se il consenso al trattamento dei dati del consumatore debba essere preventivo anche rispetto a quei dati che una volta raccolti in banche dati vengono poi rivenduti in un secondo momento ad imprese terze.
Infine il consumatore, secondo quanto statuito nel Codice deve avere la possibilità di chiedere, eventualmente, la modifica, correzione o rettifica dei dati forniti laddove gli stessi non siano corretti ed il responsabile del trattamento dei dati ha l’obbligo di comunicare l’avvenuta modifica ai destinatari delle informazioni inesatte nei cinque giorni immediatamente successivi [12].
L’art. 73 del Codice di difesa del consumatore prevede, altresì, che le imprese coinvolte nell’attività di raccolta dei dati, laddove non procedano immediatamente con la suddetta modifica, correzione o rettifica dei dati dei consumatori che risultano inesatti incorrono nella sanzione penale, prevista dal Codice, che consiste nel pagamento di una multa ovvero nella detenzione da sei mesi ad un anno [13]. Laddove, poi, il consumatore non riesca ad accedere alle informazioni che lo riguardano ovvero riscontri difficoltà nello svolgimento di tale attività è prevista sempre una sanzione penale nei confronti del gestore del servizio. Tale sanzione può consistere, anche in questo caso, nella detenzione da sei mesi ad un anno o nel pagamento di una multa [14].
Nelle disposizioni contenute nel Codice brasiliano di difesa del consumatore è possibile, quindi, intravedere la presenza di alcuni dei principi generali vigenti in Europa in materia di protezione dei dati personali quali, ad esempio, il diritto di accedere ai propri dati personali ed il principio della qualità dei dati trattati.
Occorre sottolineare, però, che tali principi, trovano applicazione, nonostante l’interpretazione estensiva che spesso ne viene fatta da parte della dottrina, solo in relazione al settore delle relazioni di consumo, cosa che impedisce di inquadrare la predetta disciplina in un ambito generale.
Dalla rapida esposizione di cui sopra, emerge, quindi, come in Brasile non vi sia una legge specifica in materia di privacy, quanto piuttosto innumerevoli disposizioni settoriali tra le quali rientrano anche quelle introdotte dal Marco Civil da Internet. Il legislatore brasiliano, infatti, con il predetto intervento normativo, pur avendo dimostrato di essere particolarmente sensibile nei confronti della tematica del trattamento e della sicurezza dei dati sul web, di fatto ha perso nuovamente l’occasione di razionalizzare la materia della privacy.
A tal riguardo occorre rilevare che il progetto di legge in materia di privacy è in discussione, in Brasile, da circa un paio d’anni e, recentemente, come già peraltro anticipato, è stato avviato un nuovo dibattito pubblico che ha tra i suoi obiettivi proprio la definizione di un testo condiviso.
L’adozione di una disciplina in grado di garantire la protezione e la sicurezza dei dati sul web probabilmente ha subito un’accelerazione, nella tempistica relativa alla sua adozione, rispetto a quanto è accaduto, invece, per l’adozione di un provvedimento organico sulla privacy, per due motivi distinti: da un lato, il coinvolgimento della Presidente Dilma Rousseff nello scandalo Datagate, ha reso il Governo brasiliano più sensibile a detta problematica e, dall’altro, l’adozione di una disciplina in grado di garantire la protezione e la sicurezza dei dati sul web, stante la mancanza di una legge generale sulla privacy, è apparsa, forse, come un punto necessario di partenza, al fine di riuscire ad incentivare gli investimenti delle imprese straniere.
A questo punto è necessario comprendere cosa sia il c.d. Marco Civil da Internet.
3. La legge n. 12.965/14, c.d. Marco Civil Da Internet.
Il c.d. Marco Civil da Internet è una legge che stabilisce principi, garanzie, diritti e doveri per l’utilizzo della rete internet in Brasile [15].
Il provvedimento in esame si presenta come una vera e propria carta dei diritti di internet ed è una normativa settoriale, visto che si rivolge specificamente agli utenti della rete internet, nonché ai prestatori di servizi sul web. Tale provvedimento, infatti, non regolamenta in modo unitario la privacy, come, ad esempio, il Codice italiano in materia di protezione dei dati personali di cui al d.lgs. n. 196/2003, il quale tratta la materia della protezione dei dati personali non solo nell’ambito delle reti di comunicazione elettronica, tra cui rientra internet, ma anche in altri ambiti che non richiedono per forza l’uso della rete internet per raccogliere i dati (come per esempio, il trattamento dei dati personali dei pazienti in ambito sanitario). Il Codice italiano in materia di protezione dei dati personali, ha, inoltre, composto in maniera organica tutte le innumerevoli disposizioni vigenti in Italia in relazione alla privacy, riunendo in unico contesto i vari provvedimenti legislativi che si sono succeduti nel corso degli anni antecedenti alla sua adozione.
In linea con quanto suddetto, il Marco Civil da Internet regolamenta la data protection solo per quanto riguarda le attività di raccolta, memorizzazione, conservazione ed elaborazione di log, dati personali o comunicazioni che coinvolgono gli utenti essendo delle attività poste in essere dalle imprese, ovvero dalle persone giuridiche sul web.
Fatte le suddette precisazioni occorre però rilevare come la disciplina in esame, da un lato, tenti di colmare alcune lacune presenti nella legislazione brasiliana in materia di protezione dei dati personali [16] – avvicinando, almeno per quanto riguarda la protezione dei dati sul web, la normativa brasiliana a quella italiana ed europea [17] -, dall’altro, se si esamina il testo più da vicino, ci si accorge che lo stesso potrebbe fungere da spunto per l’Italia e l’Europa [18].
In primo luogo merita particolare attenzione il fatto che tale provvedimento, come già peraltro accennato, venga considerato da alcuni come una carta costituzionale che traccia diritti e doveri dei cittadini brasiliani per quanto concerne l’accesso al web [19]. Ciò in quanto il Marco Civil da internet, non disciplina solo la materia della sicurezza dei dati sul web, ma sancisce anche principi generali in materia di gestione dei dati personali degli utenti, net neutrality e libertà d’espressione online, affermando, tra l’altro, che l’accesso ad internet è un diritto essenziale per l’esercizio del diritto alla cittadinanza [20].
Il principio della protezione dei dati personali degli utenti trova, nel testo in argomento, una esplicita consacrazione laddove è sancito che la disciplina dell’uso di internet è vincolata al rispetto del principio della protezione della privacy e della protezione dei dati personali nelle forme stabilite dalla legge [21]. La garanzia del diritto alla privacy e alla libertà d’espressione si estende, poi, anche alle comunicazioni ed è condizione necessaria per poter garantire il pieno esercizio del diritto d’accesso ad internet [22].
In secondo luogo, ciò che viene in considerazione, oltre alla portata dei suddetti principi, è la tipologia di processo che ha determinato la stesura del Marco Civil da Internet. Il testo oggetto della presente analisi, infatti, è il frutto di un percorso partecipativo che ha coinvolto la società civile. Dalla lettura della relazione di accompagnamento alla legge emerge come sia stata proprio la società civile ad aver chiesto al Governo di procedere con l’adozione del provvedimento. Una volta che il Ministero della Giustizia brasiliano ha cominciato a curare la stesura del predetto provvedimento si sono svolte diverse consultazioni pubbliche alle quali hanno partecipato i vari soggetti interessati discutendo liberamente sia sui punti da inserire nel provvedimento che su cosa definire con la normativa oggetto del dibattito. Sono stati offerti oltre duemila contributi e dopo tale consultazione il progetto di legge è stato inviato alla Camera dei Deputati [23].
Anche in questa fase il metodo utilizzato per giungere all’adozione del Marco Civil da Internet ha continuato a basarsi sul costante dialogo con la società civile. A tal proposito sono state organizzate ulteriori consultazioni volte ad arricchire e migliorare la bozza di legge che, in un secondo momento, è stata resa pubblica e collocata su una piattaforma web denominata E-Democracia. Grazie alla pubblicazione del testo gli utenti della rete hanno potuto discutere liberamente circa le eventuali modifiche da apportare al progetto di legge. Tali proposte sono giunte anche attraverso Twitter ed è stata sempre la società civile, mediante il predetto metodo di regolamentazione condivisa, a suggerire l’adozione delle scelte che apparivano maggiormente adeguate al fine dell’approvazione finale del testo di legge.
Tale procedimento, basato sul coinvolgimento diretto della società civile e quindi su una forma di regolamentazione condivisa, stante il successo riportato, ha trovato riscontro, poi, anche nel nuovo dibattito, avviato il 28 gennaio del 2015 dal Ministero della Giustizia brasiliano, per chiarire i punti ancora dubbi del provvedimento [24]. L’obiettivo della discussione è, anche stavolta, quello di raccogliere, in modo democratico e partecipativo, i contributi dei vari soggetti interessati, utilizzando internet come piattaforma e come luogo in cui scambiarsi idee e proposte in materia.
La partecipazione popolare al procedimento di regolamentazione di materie che coinvolgono diritti fondamentali dei cittadini è apparsa quanto mai necessaria soprattutto al fine di creare norme che tengano effettivamente in considerazione gli interessi contrapposti dei vari soggetti coinvolti [25].
4. Ambito di applicazione della disciplina introdotta dal Marco Civil da Internet.
Dopo avere analizzato i principi statuiti nella disciplina introdotta dal Marco Civil da Internet occorre definire quale sia il suo ambito di applicazione. Come già anticipato la legge in esame si riferisce agli utenti della rete internet, nonché ai prestatori di servizi sul web ovvero alle imprese che svolgono su internet attività di raccolta, memorizzazione, conservazione ed elaborazione di log, dati personali o comunicazioni.
In particolare, è necessario rilevare che sono vincolate al rispetto della suddetta normativa, anche le imprese ovvero le persone giuridiche la cui sede si trovi all’estero, laddove la realizzazione delle attività di raccolta, memorizzazione, conservazione ed elaborazione di log, dati personali o comunicazioni consista nell’offrire un servizio al pubblico brasiliano anche se l’offerta di tali servizi da parte di imprese straniere non si concretizzi nell’apertura di filiali sul territorio sudamericano.
Tale previsione è essenzialmente volta ad evitare che società come Google o Facebook riescano a giustificare modalità di trattamento dei dati più elastiche, utilizzando come scappatoia il fatto che i dati degli utenti si trovano su server collocati al di fuori del Brasile.
La predetta normativa vincola altresì le imprese straniere che offrono servizi sul web laddove l’attività di raccolta, memorizzazione, conservazione ed elaborazione di log, dati personali o comunicazioni, avvenga mediante l’apertura di filiali sul territorio brasiliano ovvero mediante l’acquisizione di attività in Brasile da parte delle componenti dello stesso ente economico [26].
Con la nuova legge, quindi, non rileva se l’impresa che svolge attività di raccolta, memorizzazione, conservazione ed elaborazione di log, dati personali o comunicazioni, sia brasiliana o straniera o se i dati siano utilizzati in Brasile o al di fuori del Brasile, perché ciò che conta è che per lo meno una delle predette attività avvenga nel territorio brasiliano. In questo caso, infatti, varranno le disposizioni contenute nel Marco Civil da Internet [27].
5. L’obbligatorietà del consenso dell’utente al trattamento dei propri dati.
Grazie all’entrata in vigore della disciplina in esame lo svolgimento delle attività delle imprese che operano nel web, gestendo i dati degli utenti, è diventato più trasparente avvicinandosi, pertanto, al quadro normativo dell’Unione Europea.
In particolare, l’art. 7 del Marco Civil da Internet sancisce una serie di principi generali volti a garantire all’utente della rete il diritto all’inviolabilità dell’intimità e della vita privata, il diritto all’inviolabilità ed alla segretezza sia del flusso di comunicazioni in transito su internet che delle comunicazioni private memorizzate, salvo ordine giudiziale e nel rispetto dei limiti stabiliti dalla legge [28].
La nuova normativa, poi, oltre a prevedere come presupposto essenziale al trattamento dei dati degli utenti il libero consenso espresso da parte degli stessi, richiede, altresì, che i contratti di prestazioni di servizi contengano informazioni chiare e complete circa il regime di protezione dei dati ovvero circa il regime di gestione dei registri di connessione e d’accesso alle applicazioni internet. Tale assunto trova applicazione in relazione ai regolamenti che dovranno adottare le imprese che offrono servizi sul web al fine di chiarire, in linea con le disposizioni del Marco Civil da Internet, quale sia il proprio sistema di gestitone dei dati [29].
Con l’entrata in vigore del Marco Civil da Internet, inoltre, è stato rafforzato ed esplicitato, per quanto attiene specificamente al web, il principio generale, secondo il quale il trattamento dei dati raccolti e venduti da aziende che hanno accesso alle informazioni riguardanti le preferenze e le scelte degli utenti della rete internet, deve essere sottoposto al previo consenso espresso dell’utente. Ciò significa, a titolo esemplificativo, che le imprese, il cui lavoro si sostanzia essenzialmente nella raccolta di dati per fini commerciali, non potranno fornire dati personali e/o registri d’accesso a terzi senza il previo consenso libero, espresso ed informato dell’utente [30].
Merita a tal riguardo rilevare che, prima dell’introduzione del Marco Civil da Internet una pratica comune posta in essere dalle imprese che fornivano il servizio di raccolta dei dati era proprio quella di fornire tali dati a terzi senza il previo consenso dell’interessato. Ciò perché, nonostante il Codice di difesa del Consumatore, come già accennato sopra, stabilisse di informare il consumatore circa l’inserimento dei propri dati in un registro e/o in una banca dati, di fatto tale provvedimento non conteneva alcuna disposizione che ne vietasse espressamente la distribuzione, cosa che lasciava intendere che la commercializzazione ex post dei dati raccolti fosse permessa indipendentemente dal consenso dell’interessato a tale modalità di trattamento dei dati [31].
In linea con quanto suddetto le imprese che trattano i dati degli utenti, devono, inoltre, fornire informazioni chiare circa le modalità di raccolta, l’uso, il trattamento e la protezione dei medesimi dati, i quali potranno essere utilizzati solo per le finalità – non vietate dalla legge – che ne giustificano la raccolta.
Tali disposizioni rispecchiano i principi generali vigenti in Europa in materia di protezione dei dati personali, quali, ad esempio, il principio di liceità del trattamento, secondo cui il trattamento è lecito solo se conforme alla legge o il principio di finalità, secondo il quale l’utilizzazione dei dati personali deve corrispondere alle finalità comunicate all’interessato prima che il trattamento dei dati abbia inizio. In linea con il principio generale, sempre di matrice europea, di correttezza del trattamento dei dati, il Marco Civil da Internet prevede, altresì che, le informazioni attinenti al trattamento dei dati, devono essere inserite nei contratti di prestazione dei servizi nonché nelle disposizioni relative alle condizioni d’uso delle applicazioni internet [32]. Al fine di garantire a pieno il rispetto del principio secondo cui il trattamento dei dati dell’utente deve essere sottoposto al previo consenso espresso da parte dello stesso, il Marco Civil da Internet richiede, altresì, che la manifestazione del consenso dell’utente avvenga in forma separata rispetto all’accettazione dalle altre clausole contrattuali [33].
Quanto suddetto non significa che i dati degli utenti non potranno mai essere trasferiti a terzi o che l’utente dovrà aderire in forma separata a ciascun trattamento differenziato dei propri dati, quanto piuttosto, che le clausole dei contratti di prestazione dei servizi, dovranno essere riscritte in modo tale da chiarire ed esplicitare la politica di gestione dei dati degli utenti ed i relativi termini d’uso [34].
L’intento perseguito dal legislatore brasiliano con l’introduzione del provvedimento in esame è quello di tutelare la libertà di ognuno in rete tanto che, qualora l’utente desideri cancellare i dati personali forniti su internet, per esempio, per la creazione di un account o di un profilo di un social network, potrebbe farlo, sollecitando l’esclusione in forma definitiva dei propri dati al termine del rapporto contrattuale (c.d. direito ao esquecimento) [35].
I dati personali immessi sul web dagli usuari della rete apparterrebbero, quindi, definitivamente solo ai medesimi utenti e non a terzi. L’unica deroga all’esercizio del predetto diritto si riscontrerebbe nelle ipotesi ex artt. 10, 13 e 15 che verranno di seguito esaminate.
6. Tutela della privacy nelle comunicazioni via e-mail e misure volte a garantire la sicurezza dei dati immessi sul web.
Un altro aspetto che trova esplicita tutela nel Marco Civil da Internet riguarda, come già accennato, la garanzia della privacy delle comunicazioni che avvengono tramite e-mail. Prima dell’entrata in vigore della legge, la tutela della privacy, ricavabile dai principi sanciti dalla Costituzione Federale brasiliana, non si estendeva, per esempio alle comunicazioni private trasmesse su supporto elettronico. A partire dall’entrata in vigore del Marco Civil da Internet, stante l’esplicito riferimento contenuto nell’art. 7, le e-mail godono, invece, della medesima forma di tutela che è ricavabile dalla Costituzione Federale per le comunicazioni che avvengono su supporti tradizionali come la carta o il telefono [36].
Per quanto riguarda, invece, la tematica della sicurezza dei dati, il Marco Civil da Internet dedica, un’apposita sezione alle misure volte a garantire, nello specifico, la sicurezza dei dati immessi sul web.
Prima di procedere con l’esame della predetta disciplina è opportuno, però, evidenziare, come il Marco Civil da Internet, nonostante faccia riferimento a due distinte categorie di prestatori di servizi sul web – provedor de conexão à internet e provedor de aplicações de internet – di fatto non contenga alcuna definizione esplicita di tali concetti.
La legge in esame, infatti, si limita a chiarire cosa debba essere inteso per rete internet, terminale, indirizzo IP, connessione ad internet, registro di connessione, applicazioni internet, registri di applicazioni ad internet e amministratore di sistema. In particolare, la figura dell’amministratore di sistema, viene definita come la persona fisica o giuridica che amministra gli indirizzi IP ed è registrata presso l’ente nazionale responsabile per la distribuzione degli indirizzi IP geograficamente riferibili al Brasile [37].
L’Amministratore di sistema, secondo alcuni sarebbe, poi, una figura che in parte andrebbe ad incidere sui concetti, già in uso, prima dell’introduzione del Marco Civil da Internet, di provedor de acesso ou provedor de conexão visto che il testo in esame da un lato definisce l’amministratore di sistema come la persona fisica o giuridica che amministra gli indirizzi IP e dall’altro fa ricadere su codesta categoria di prestatore di servizi l’obbligo di conservazione dei registri di connessione di cui all’art. 13 [38].
In mancanza di indicazioni esplicite sul punto, occorre, quindi, fare un passo indietro e cercare quanto meno di comprendere il significato che assumono nel Marco Civil da Internet i concetti di provedor de conexão à internet e di provedor de aplicações de internet.
Secondo una parte della dottrina la figura del provedor de conexão à internet coincide con la definizione di provedor de acesso ou provedor de conexão ovvero con la persona giuridica che fornisce ai consumatori il servizio di accesso ad internet [39]. I concetti di provedor de acesso ou provedor de conexão a loro volta erano usati in Brasile, da una differente corrente dottrinaria, ancor prima dell’introduzione del Marco Civil da Internet, al fine di individuare delle categorie di prestatori di servizi che altro non erano se non una specificazione del concetto generale di provedor de serviços de internet ovvero della persona naturale e/o giuridica che fornisce servizi relazionati al funzionamento di internet [40].
Tornado all’esame della figura del provedor de conexão à internet occorre, altresì, rilevare come la corrente dottrinaria sopra citata ricomprenda in tale categoria di prestatori di servizi anche i provedores de serviço de acesso. Il concetto di provedores de serviço de acesso era utilizzato, peraltro, da un’altra dottrina, sempre anteriormente rispetto all’introduzione del Marco Civil da Internet, per distinguere i prestatori di servizi di accesso alla rete dai provedores de serviços online che erano, invece, definiti come dei soggetti che non fornivano l’accesso ad internet ma utilizzavano la rete per fornire altre tipologie di servizi [41].
Per poter dare una definizione del secondo concetto in esame ovvero della figura del provedor de aplicações de internet occorre far riferimento proprio a quanto appena suesposto visto che l’attività svolta dal predetto prestatore di servizi può essere definita come l’attività di un’impresa, di un’organizzazione e/o di una persona naturale che professionalmente o autonomamente, indipendentemente dagli obiettivi economici, fornisce un congiunto di funzionalità al quale si può accedere per mezzo di un terminale connesso ad internet [42].
Fatte le suddette premesse appare necessario evidenziare come la conservazione dei dati oggetto di trattamento ovvero dei registri di connessione e d’accesso ad internet, nonché dei dati personali e delle comunicazioni private, secondo quanto disposto dal Marco Civil da Internet, deve, rispettare e preservare l’intimità della vita privata, l’onore e l’immagine della parte direttamente o indirettamente coinvolta [43].
Il mancato rispetto delle previsioni contenute nel testo in esame, da parte dei provedor de conexão à internet e dei provedor de aplicações de internet, dà luogo alle seguenti sanzioni, applicabili anche cumulativamente ed indipendentemente dalla possibilità di inquadrare il medesimo comportamento nelle altre previsioni penali, civili e/o amministrative: avvertimento, multa pari al 10% del fatturato del gruppo economico in Brasile, sospensione temporanea dell’attività e sospensione definitiva dell’attività [44].
Il testo oggetto della presente analisi rimette, però, all’adozione di una futura regolamentazione la disciplina specifica relativa alle informazioni che devono fornire i provedor de conexão à internet e provedor de aplicações de internet affinché possa essere dimostrato il rispetto da parte loro della legge brasiliana circa lo svolgimento delle rispettive attività [45].
Anche il procedimento relativo all’accertamento del mancato rispetto dei principi sanciti dal Marco Civil da Internet, dovrà essere preso in considerazione dalla regolamentazione che, come accennato precedentemente, è attualmente in discussione [46].
Il testo in esame, inoltre, non individua neanche l’Autorità amministrativa competente ad applicare le predette sanzioni e si discute circa l’eventuale attribuzione di tale competenza in capo all’Agência Nacional de Telecomunicações, o in capo al Ministério das Comunicações, ovvero al Comitê Gestor da Internet no Brasil [47].
Il fatto che il Marco Civil da Internet si limiti solo a prevedere il rispetto di una serie di principi stabilendo, altresì, le sanzioni nelle quali incorrono i prestatori di servizi che trattano i dati degli utenti in caso di mancato rispetto dei medesimi principi, potrebbe creare un po’ di confusione, soprattutto laddove l’adozione della regolamentazione contenete l’individuazione dell’Autorità competente ad accertare le predette infrazioni e la disciplina del relativo procedimento, non venisse adottata in tempi brevi.
Per quanto attiene, poi alla tematica della conservazione dei registri di connessione, gli articoli 13 e 15 del Marco Civil da Internet prevedono, degli obblighi a carico sia dei provedor de conexão à internet che dei provedor de aplicações de internet.
I provedor de conexão à internet devono conservare i registri di connessione degli utenti (indirizzo IP, data e ora d’inizio e fine della connessione) in un ambiente controllato e sicuro per il periodo di un anno [48]. Tale onere ricade anche sui provedor de aplicações de internet che, laddove svolgano la loro attività sotto forma di persona giuridica ovvero professionalmente e con finalità economiche, devono mantenere i rispettivi registri d’accesso alle applicazioni internet (data e ora d’uso di un’applicazione internet che inizia e termina da un determinato indirizzo IP) in un ambiente controllato e sicuro per il periodo di sei mesi [49].
Le suddette disposizioni hanno generato, però, delle critiche mosse da parte di chi ha sostenuto che era un controsenso prevedere dei vincoli così stringenti se uno degli obiettivi della normativa introdotta dal Marco Civil da Internet doveva essere quello di attrarre investimenti dall’estero. Tali vincoli, infatti, si sarebbero potuti tradurre in oneri eccessivi in termini di costi da sostenere per le nuove start-up che, al fine d’essere compliance con la disciplina in esame, si sarebbero dovute dotare di un’organizzazione più complessa [50].
Dall’altro lato chi guarda la normativa dall’esterno, non può non rilevare come tali disposizioni, peraltro in linea con quanto previsto in Europa e, in particolare Italia, in realtà sembrano principalmente orientate, nella sostanza, nel senso di fornire un aiuto alla polizia giudiziaria nell’investigazione dei crimini commessi sulla rete. I dati conservati nella maniera sopradescritta possono essere, infatti, forniti solo previo provvedimento del giudice [51].
7. Trasferimento transfrontaliero dei dati.
Prima di procedere nella trattazione del punto in oggetto è opportuno precisare che la presente disciplina non contiene alcun esplicito divieto di trasferimento dei dati all’estero, ed una delle questioni più dibattute nel corso dell’approvazione della proposta di legge, è stata quella di impedire l’archiviazione dei dati dei cittadini brasiliani su server collocati all’estero.
Tale proposta, però, è stata eliminata dal testo della legge prima dell’approvazione da parte del Senado Federal [52].
In seguito alla mancata approvazione del testo che conteneva l’obbligo per i prestatori di servizi sul web di dotarsi di data center in Brasile, è stata rafforzata la disposizione, di cui all’art. 11 della legge in esame, che vincola le imprese che raccolgono dati generati in Brasile alla disciplina brasiliana indipendentemente dal luogo in cui si trovano i server sui quali vengono archiviate le informazioni.
La questione relativa all’assenza di un esplicito divieto al trasferimento dei dati all’estero nel testo finale del Marco Civil da Internet è, invece, rimasta invariata nonostante si parli da tempo in Brasile della necessità di dotarsi di disposizioni sul punto [53].
Tale aspetto costituisce, quindi, una divergenza della normativa introdotta dal Marco Civil da Internet con quanto previsto, invece, in materia di protezione dei dati personali in Italia ed in Europa.
Basti pensare, infatti, che in Italia il trasferimento anche temporaneo di dati personali al di fuori del territorio dello Stato, se diretto verso un Paese non appartenente all’Unione europea è consentito solo nelle circostanze di cui all’art. 43 del d.lgs. n. 196/2003 (di seguito, Codice Privacy) [54]. In assenza delle predette “circostanze” vige un esplicito divieto di trasferimento transfrontaliero dei dati, laddove tali dati, seppure generati sul territorio italiano, siano diretti verso paesi non membri dell’unione Europea e ≪l’ordinamento del Paese di destinazione o di transito dei dati non – assicuri – un livello di tutela delle persone adeguato≫ [55].
La citata disposizione, poi, non è altro che la trasposizione a livello nazionale dei principi del diritto europeo vigenti in materia di protezione dei dati. Il legislatore europeo, infatti, richiede che il titolare del trattamento, prima di trasferire i dati verso paesi terzi che non garantiscono un adeguato livello di tutela, sottoponga il flusso dei dati all’esame delle autorità di controllo. Durante il suddetto esame, il titolare del trattamento deve dimostrare, oltre all’esistenza di una base giuridica per lo svolgimento della propria attività, anche la presenza di misure atte a garantire un’adeguata tutela dei dati presso il destinatario. Il concetto di adeguatezza, a livello comunitario sta a significare che i principi fondamentali in materia di protezione dei dati sono stati effettivamente introdotti nel diritto nazionale del paese destinatario.
Stante quanto suddetto, in relazione al divieto di trasferire i dati verso paesi terzi che non garantiscono un adeguato livello di tutela, assume, quindi, particolare importanza, l’introduzione nell’ordinamento giuridico brasiliano, di principi generali in materia di protezione dei dati, che siano in linea con quanto sancito a livello Italiano ed Europeo.
La suddetta divergenza circa il mancato inserimento nel testo in esame del divieto al trasferimento dei dati all’estero sembrerebbe un punto secondario rispetto al fatto che il Marco Civil da Internet, potrebbe costituire un primo passo al fine di incentivare gli investimenti delle imprese italiane ed europee che eviterebbero, alla luce dei nuovi principi stabiliti, di incorrere nel suddetto divieto di trasferimento transfrontaliero dei dati. Tale provvedimento, state l’allineamento con alcuni dei principi vigenti in Italia ed in Europa in materia di protezione dei dati, potrebbe essere, altresì, funzionale ad attrarre nuovi clienti visto che il successo di alcuni servizi legati alla rete internet, come ad esempio quelli di cloud computing, è legato proprio alla fiducia che l’utente ha nella gestione delle proprie informazioni.
Sul punto è necessario osservare che fino a poco tempo fa il Brasile veniva considerato come un paese in cui non esisteva alcuna legislazione o forma di regolamentazione che fosse in grado di supportare lo sviluppo di attività connesse al web, quali ad esempio i servizi di cloud compunting. Tali servizi sono, infatti, per definizione strettamente connessi con l’adozione di politiche che siano in grado di garantire la privacy, la sicurezza dei dati, la proprietà intellettuale, la portabilità dei dati, l’interoperabilità dei sistemi, l’armonizzazione della regolamentazione a livello internazionale e l’apertura dei mercati [56].
Dallo svolgimento del predetto raffronto, sembrerebbe emergere, inoltre, che le imprese europee, laddove decidessero di aprire delle filiali in Brasile potrebbero svolgere nel paese sudamericano l’attività di raccolta, memorizzazione, conservazione ed elaborazione di log, dati personali o comunicazioni degli utenti, sottostando ai vincoli imposti dal Marco Civil da Internet, e procedere, poi, liberamente in un secondo momento, al trasferimento dei medesimi dati, senza dover sottostare ad alcun vincolo particolare.
8. Conclusioni.
Dalla rapida esposizione di cui sopra emerge, in Brasile, uno scenario frammentato in materia di privacy, caratterizzato, tra l’altro, dall’assenza di un provvedimento che disciplini la materia in modo organico.
Il Marco Civil da Internet, infatti, rimane un provvedimento settoriale che, pur avendo sancito una serie di principi fondamentali, tra cui anche quello della protezione dei dati personali degli utenti del web, di fatto non razionalizza la materia.
Dalla lettura delle norme di cui trattasi rileva, altresì, come il Marco Civil da Internet, presenti tuttora numerose problematiche di dubbia risoluzione, tanto che sul punto al fine di fare chiarezza ed evitare che tale provvedimento possa sortire effetti opposti rispetto a quelli desiderati, è stato avviato, come ribadito più volte nel corso della presente trattazione, un nuovo dibattito pubblico.
Per quanto attiene alle tematiche ancora dubbie del provvedimento in esame, basti pensare al fatto che tale provvedimento, limitandosi a restringere il proprio ambito applicativo alle sole attività di raccolta, memorizzazione, conservazione ed elaborazione di log, dati personali o comunicazioni che avviene su internet, non contiene alcuna definizione chiara di ciò che debba intendersi per “dati personali”, nonostante, come suddetto, vi faccia esplicito riferimento.
Tale definizione può essere, tutto al più, estrapolata dalla prassi giudiziale che sembrerebbe orientata, nell’utilizzare la predetta terminologia nei casi in cui vengano in questione trattamenti di dati che consentono di identificare l’individuo, come per esempio, il suo nome o la sua identità. Ciò, a conferma di quanto precedentemente detto, si riconnette all’assenza di una normativa generale ad hoc in materia di privacy.
Pare, invero, che il paese sudamericano da un lato si sia reso perfettamente conto della necessità di introdurre delle regole all’avanguardia in materia di data protection sul web – in una realtà, come quella odierna, che fa largo uso della tecnologia informatica – dall’altro lato, però, che abbia tentato di colmare, con l’adozione del Marco Civil da Internet, una lacuna ben più ampia.
Tale lacuna appare ancor più evidente laddove ci si renda conto che l’adozione di un provvedimento specifico in materia di protezione dei dati personali, come già accennato, sarebbe quanto mai opportuna soprattutto al fine di chiarire definitivamente cosa debba intendersi per “dati personali”.
L’importanza di introdurre nell’ordinamento giuridico brasiliano una legislazione completa in materia di privacy, oltre alle predette disposizioni in grado di garantire la sicurezza dei dati, emergerebbe, altresì, alla luce della circostanza che ciò appare necessario proprio al fine di sostenere effettivamente l’economia digitale ed i fornitori di servizi sul web, tra cui, in particolare, i fornitori di servizi di cloud computing, che al giorno d’oggi rappresentano un nuovo motore per l’economia globale.
Un ulteriore profilo critico, che si riconnette a quanto suddetto, è rappresentato, poi, dal fatto che in Brasile, non esistendo una legge generale sulla privacy né tanto meno un organismo di vigilanza e controllo competente in materia, non sussiste neanche alcun meccanismo di notifica preventiva del trattamento di alcune categorie di dati come, invece, accade nell’ordinamento italiano. Il titolo VI del Codice Privacy, di cui al d.lgs. n. 196/2003, prevede, infatti, che il titolare, laddove intenda procedere al trattamento dei dati che rientrano nelle ipotesi elencate dall’art. 37 del Codice, debba preventivamente notificarlo al Garante [57].
Il rispetto dell’obbligo di notifica preventiva, di cui al predetto articolo del Codice Privacy italiano, è un meccanismo funzionale a garantire una forma di controllo ex ante per quelle tipologie di trattamenti dei dati riconducibili a settori ed attività peculiari che sono più pericolosi per i diritti dell’interessato.
Stante ciò, è palese l’auspicabilità in futuro dell’adozione in Brasile di un provvedimento che rechi un quadro normativo di insieme, nel quale si inseriscano i vari provvedimenti settoriali qui richiamati, contemplando anche l’istituzione di un’Autorità di settore, visto che tale accorgimento, laddove coadiuvato da un meccanismo di controllo preventivo svolto dal medesimo organismo, potrebbe alleggerire notevolmente il ruolo delle Corti brasiliane.
Nonostante le suddette criticità, non deve sfuggire l’attualità dell’iniziativa legislativa brasiliana che reca, tra le prime al mondo, una carta dei diritti di internet che è il frutto di un percorso partecipativo che ha coinvolto la società civile. Anche in assenza di un background analogo a quello europeo in materia di trattamento dei dati, inoltre, con l’adozione del Marco Civil da Internet, che prende in considerazione i diritti dei cittadini sul web, il Brasile ha dimostrato di aver compreso perfettamente l’importanza della partecipazione della società civile al procedimento di regolamentazione di materie che coinvolgono diritti fondamentali dei cittadini.
L’idea di dotarsi di un Bill Of Rights della rete ovvero la consapevolezza della necessità di introdurre nell’ordinamento giuridico delle disposizioni volte al riconoscimento, ad esempio, dell’accesso ad internet quale diritto fondamentale, trova riscontro anche nell’iniziativa italiana volta all’adozione di una carta dei diritti degli utenti del web, che, tuttavia, è ancora lontana dal vedere la luce, nonché nei dibattiti, che ciclicamente tornano ad essere oggetto di provvedimenti legislativi e/o giurisprudenziali, in materia di accesso alla rete come diritto sociale e di net neutrality.
Note:
[1] Si veda, al riguardo, il disegno di legge costituzionale n. 1561 del 10 luglio 2014, recante disposizioni volte al riconoscimento del diritto di accesso ad internet, depositato presso il Senato della Repubblica. Il predetto disegno di legge prospetta l’inserimento nella Costituzione della Repubblica italiana dell’articolo 34-bis, che riconduce il diritto di accesso ad internet nell’ambito dei rapporti etico-sociali. Più specificamente, lo scopo perseguito dal legislatore con il predetto intervento normativo consiste nella creazione di un diritto sociale all’accesso ad internet che si concretizza in una pretesa soggettiva a prestazioni pubbliche, ovvero in un servizio universale che le istituzioni devono garantire tramite investimenti, politiche sociali ed educative, al pari di quanto già avviene, ad esempio, con l’accesso all’istruzione, la sanità o la previdenza. A conferma di ciò basti notare come la collocazione del suddetto diritto nel presente progetto di riforma sia tutt’altro che causale visto che l’art. 34-bis si trova proprio dopo l’art. 34 relativo all’istruzione.
[2] l. n. 12.965 del 23 aprile 2014. Disponibile al link: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm .
[3] Per quanto attiene all’avvio della consultazione pubblica si veda quanto riportato nel portale del Governo Federale brasiliano: http://www.brasil.gov.br/cidadania-e-justica/2015/01/marco-civil-da-internet-e-protecao-de-dados-pessoais-vao-a-debate-publico . Si veda, altresì, quanto riportato nel portale dell’EBC: http://www.ebc.com.br/tecnologia/2015/01/ministerio-da-justica-abre-discussoes-sobre-neutralidade-e-guarda-de-dados-no .
[4] Costituzione della Repubblica federale del Brasile, art. 5 ≪são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação≫, disponibile al seguente link: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm . Si veda, altresì, G.M. Dezem, in F. Del Masso; J. Abrusio; M.A. Florencio Filho (a cura di) Marco Civil da Internet lei 12.965/2014, São Paulo, 2014, p. 65.
[5] Costituzione della Repubblica federale del Brasile, art. 5:≪ é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal≫.
[6] Costituzione della Repubblica federale del Brasile, art. 5: ≪conceder-se-á habeas data: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo≫. In particolare, tale strumento era volto a garantire ai cittadini la possibilità di accedere alle informazioni personali detenute dal Governo durante il regime militare. Si veda a tal riguardo quanto riportato nell’investigazione condotta sul punto dal Departamento de Proteção e Defesa do Consumidor del Ministero della Giustizia brasiliano recante A Proteção de Dados Pessoais nas Relações de Consumo: para Além das Informações Creditícias, pp. 49-51. Disponibile al seguente indirizzo web: http://www.vidaedinheiro.gov.br/docs/Caderno_ProtecaoDadosPessoais.pdf .
[7] l. n. 10.406, del 10 gennaio del 2002 recante Código Civil, art. 21: ≪a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma≫, disponibile al seguente link: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm .
[8] l. n. 8.078, dell’11 settembre del 1990, recante Codigo de Difesa do Consumidor, seção VI, Dos Bancos de Dados e Cadastros de Consumidores, disponibile al seguente link: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm .
[9] l. n. 8.078, dell’11 settembre del 1990, art. 43: ≪o consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes≫.
[10] l. n. 8.078, dell’11 settembre del 1990, art. 43: ≪os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos≫.
[11] l. n. 8.078, dell’11 settembre del 1990, art. 43: ≪a abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele≫.
[12] l. n. 8.078, dell’11 settembre del 1990, art. 43: ≪o consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas≫.
[13] l. n. 8.078, dell’11 settembre del 1990, art. 73: ≪deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata: pena detenção de um a seis meses ou multa≫.
[14] l. n. 8.078, dell’11 settembre del 1990, art. 72: ≪impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros: pena detenção de seis meses a um ano ou multa≫.
[15] l. n. 12.965, del 23 aprile del 2014, art.1: ≪esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria≫. Come affermato dalla Presidente Dilma Rousseff, tale provvedimento serve a consolidare l’idea che la rete internet possa essere considerata come uno spazio libero e democratico dove le informazioni e i dati degli utenti appartengono effettivamente agli stessi e non sono alla mercè delle multinazionali del web come Google, Facebook, o Apple, che controllano gran parte dei contenuti che viaggiano online.
[16] Si veda il link: http://www.conjur.com.br/2014-abr-30/marco-civil-internet-poe-fim-lacunas-existentes-legislacao .
[17] Si veda sul punto: http://europa.eu/rapid/press-release_SPEECH-14-454_en.htm.
[18] Si veda sul punto quanto affermato da Stefano Rodotà: http://inchieste.repubblica.it/it/repubblica/repit/2014/07/07/news/intervista_rodot-86836032/.
[19] Sul punto occorre precisare come anche il Deputato Alessandro Molon, relatore della legge abbia in molteplici circostanze affermato che il Marco Civil da internet può essere considerato come una carta costituzionale. Si veda a tal proposito il seguente articolo: http://www.bbc.co.uk/portuguese/noticias/2014/03/140219_marco_civil_internet_mm.
[20] l. n. 12.965, del 23 aprile del 2014, art. 7: ≪o acesso à internet é essencial ao exercício da cidadania≫. Si veda sul punto la relazione di accompagnamento al progetto di legge presentata dal potere esecutivo e disponibile al seguente link: http://www.camara.gov.br/sileg/integras/1238721.pdf e si veda, altresì, il progetto di legge presentato al Congresso Nacional http://www.camara.gov.br/sileg/integras/912989.pdf.
[21] l. n. 12.965, del 23 aprile del 2014, art. 3: ≪a disciplina do uso da internet no Brasil tem os seguintes princípios: I – garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal; II – proteção da privacidade; III – proteção dos dados pessoais, na forma da lei≫.
[22] l. n. 12.965, del 23 aprile del 2014, art. 8:≪a garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet≫.
[23] Si veda sul punto la relazione di accompagnamento al progetto di legge disponibile al seguente link: http://www.camara.gov.br/sileg/integras/1238721.pdf .
[24] Si veda sul punto il seguente link: http://www.conjur.com.br/2015-jan-27/marco-civil-internet-protecao-dados-pessoais-debate.
[25] Si veda sul punto il seguente indirizzo: http://www.ebc.com.br/tecnologia/2015/01/ministerio-da-justica-abre-discussoes-sobre-neutralidade-e-guarda-de-dados-no.
[26] l. n. 12.965, del 23 aprile del 2014, art. 11: ≪o disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil≫.
[27] l. n. 12.965, del 23 aprile del 2014, art. 11: ≪em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil≫.
[28] l. n. 12.965, del 23 aprile del 2014, art. 7 ≪o acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial≫. Si veda, R. L. Monteiro, in F. Del Masso; J. Abrusio; M.A. Florencio Filho (a cura di), Marco Civil da Internet lei 12.965/2014, São Paulo, 2014, pp. 145-146.
[29] l. n. 12.965, del 23 aprile del 2014, art. 7 ≪informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade≫. Si veda, altresì, R.L. Monteiro, in F. Del Masso; J. Abrusio; M.A. Florencio Filho (a cura di) Marco Civil da Internet lei 12.965/2014, São Paulo, 2014, p.146.
[30] l. n. 12.965, del 23 aprile del 2014, art. 7 ≪não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei≫. Sul punto: C.E.E. OLIVEIRA, Aspectos Principais da Lei nº 12.965, de 2014, o Marco Civil da Internet: subsídios à comunidade jurídica, in Núcleo de Estudos e Pesquisas da Consultoria Legislativa, texto para Discussão n. 148, 2014, p. 6. Disponibile al link: http: //www12.senado.gov.br/publicacoes/estudos-legislativos/tipos-de-estudos/textos-para-discussao/td-148-aspectos-principais-da-lei-no-12.965-de-2014-o-marco-civil-da-internet-subsidios-a-comunidade-juridica.
Si veda, altresì, la relazione di accompagnamento al progetto di legge, p. 30, (disponibile al seguente link: http://www.camara.gov.br/sileg/integras/1238721.pdf ), laddove si fa riferimento al metodo convenzionalmente chiamato di opt-in per la manifestazione del consenso libero ed informato dell’utente al trattamento dei propri dati e p. 42 laddove si fa riferimento alla necessità del previo consenso dell’internauta al trattamento dei dati.
[31] Si veda, R.L. Monteiro, in F. Del Masso; J. Abrusio; M.A. Florencio Filho (a cura di), Marco Civil da Internet lei 12.965/2014, São Paulo, 2014, p. 147.
[32] l. n. 12.965, del 23 aprile del 2014, art. 7 ≪informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet≫.
[33] l. n. 12.965, del 23 aprile del 2014, art. 7 ≪consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais≫.
[34] Si veda sul punto R.L. Monteiro, in F. Del Masso; J. Abrusio; M.A. Florencio Filho (a cura di), Marco Civil da Internet lei 12.965/2014, São Paulo, 2014, p. 149.
[35] l. n. 12.965, del 23 aprile del 2014, art. 7 ≪exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei≫.
[36] Sul punto si veda quanto riportato al seguente link: http://culturadigital.br/marcocivil/
[37] l. n. 12.965, del 23 aprile del 2014, art. 5: ≪para os efeitos desta Lei, considera-se: I – internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes; II – terminal: o computador ou qualquer dispositivo que se conecte à internet; III – endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais; IV – administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País; V – conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP; VI – registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados; VII – aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e VIII – registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP≫.
[38] Sul punto si veda l’articolo del presidente dell’associazione IBDDIG-Instituto Brasileiro de Direito Digital, F. Meinberg Ceroy, Os conceitos de provedores no Marco Civil da Internet, in Revista Jus Navigandi, Teresina, anno 19 , n. 4093 , 15 set. 2014 , disponibile al seguente link: http://jus.com.br/artigos/31938/os-conceitos-de-provedores-no-marco-civil-da-internet.
[39] Si veda F. Meinberg Ceroy, Os conceitos de provedores no Marco Civil da Internet, cit., considerando che l’autore si rifà a sua volta alla corrente dottrinaria del Prof. Leonardi di cui alla nota successiva.
[40] Sul punto, M. Leonardi, Responsabilidade Civil dos Provedores de Serviço de Internet, São Paulo, 2005. p. 19: ≪provedor de Internet é a pessoa natural ou jurídica que fornece serviços relacionados ao funcionamento da Internet, ou por meio dela, sendo que provedor de serviços é o gênero do qual as demais categorias (…) são espécies≫.
[41] Sul punto occorre rilevare che F. Meinberg Ceroy, di cui alle suddette note, fa riferimento, a sua volta, ai concetti di provedores de serviço de acesso e provedores de serviços online usati dal prof. Ronaldo Lemos nell’analisi concernente la problematica della responsabilità dei prestatori di servizi online in R. Lemos, Direito, tecnologia e cultura, Rio de Janeiro, 2005, pp. 32-34. Disponibile al seguente link: http://bibliotecadigital.fgv.br/dspace/bitstream/handle/10438/2190/Ronaldo%20Lemos%20-%20Direito%20Tecnologia%20e%20Cultura.pdf?sequence=1&isAllowed=y
[42] Sul punto F. Meinberg Ceroy, Os conceitos de provedores no Marco Civil da Internet, cit. La predetta dottrina evidenzia che, nonostante la previsione contenuta nel primo comma dell’art. 15 della legge n. 12.965, del 23 aprile del 2014, faccia esplicito riferimento, ai fini dell’applicabilità della disciplina in esame, all’attività posta in essere dal provedor de aplicações de internet, costituito sotto forma di persona giuridica, che esercita la propria attività professionalmente e con fini economici, tale assunto, nel comma immediatamente successivo del medesimo articolo, verrebbe integrato, laddove si legge che un provvedimento giudiziale può obbligare, per un certo periodo di tempo, i provedores de aplicações de internet che non rientrano nell’ambito di applicazione del comma precedente – in quanto non organizzati sotto forma di persona giuridica che esercita un’attività imprenditoriale – ≪desde que se trate de registros relativos a fatos específicos em período determinado≫. In relazione a questo punto specifico altri, infatti, ritengono che uno dei limiti posti dal Marco Civil da Internet all’acquisizione delle prove utili ai fini di investigazione dei reati telematici, sia proprio quello di stabilire che l’obbligo di conservazione dei registri, ricada solo a carico dei provedores de aplicações de internet costituiti sotto forma di persona giuridica che esercitano la propria attività professionalmente, con fini economici. Si veda sul punto G. Giova, in F. Del Masso; J. Abrusio; M.A. Florencio Filho (a cura di), Marco Civil da Internet lei 12.965/2014, São Paulo, 2014, p.173.
[43] l. n. 12.965, del 23 aprile del 2014, art. 10: ≪a guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas≫. Si tenga presente che tale articolo nei commi successivi elenca, poi, una serie di ipotesi in cui i dati, di cui al comma precedente, devono essere obbligatoriamente forniti all’autorità giudiziaria: ≪o provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7o. 2o O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7o. 3o O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição. 4o As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais≫.
[44] l. n. 12.965, del 23 aprile del 2014, art. 12: ≪sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos art. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção; III – suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou IV – proibição de exercício das atividades que envolvam os atos previstos no art. 11. Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no País≫.
[45] l. n. 12.965, del 23 aprile del 2014, art. 11 ≪os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações≫.
[46] l. n. 12.965, del 23 aprile del 2014, art. 11: ≪decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo≫.
[47] Si veda il link: https://blogdovladimir.wordpress.com/2014/05/05/breves-comentarios-ao-marco-civil-da-internet/ . Sul punto l’Istitudo Brasileiro de difesa do Consumidor ritiene, invece, che possa essere creato un sistema integrato composto da entità, di natura pubblica e privata, ciascuna con poteri distinti: http://www.idec.org.br/em-acao/em-foco/consulta-sobre-marco-civil-da-internet-recebe-contribuices-do-idec.
[48] l. n. 12.965, del 23 aprile del 2014, art. 13: ≪na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento≫.
[49] l. n. 12.965, del 23 aprile del 2014, art. 15: ≪o provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento≫. Si veda sul punto G. Giova, in F. Del Masso; J. Abrusio; M.A. Florencio Filho (a cura di), Marco Civil da Internet lei 12.965/2014, São Paulo, 2014, pp.156-176.
[50] Tali critiche sono state mosse soprattutto da parte dell’Istitudo Brasileiro de difesa do Consumidor: Si veda il seguente indirizzo http://olhardigital.uol.com.br/noticia/por-que-tanta-gente-odeia-o-marco-civil-da-internet/41215
[51] l. n. 12.965, del 23 aprile del 2014, art. 13: ≪em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo≫; ≪em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo≫.
[52] Si veda il seguente link: http://www.redebrasilatual.com.br/politica/2013/11/instalacao-de-data-centers-no-brasil-pode-decidir-acordo-sobre-marco-civil-da-internet-8745.html.
[53] Si veda il commentario al progetto di legge sulla privacy, pp. 35-36 (disponibile al seguente indirizzo: https://securitybreaches.files.wordpress.com/2011/05/anteprojeto-de-lei-brasileiro-sobre-protecao-de-dados-pessoais.pdf ).
[54] d.lgs. n. 196 del 30 giugno 2003, art. 43: ≪il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito solo in determinate circostanze: a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato; c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21; d) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2; e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l’osservanza delle norme che regolano la materia; g) è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati≫, si veda, altresì, l’art. 44 che elenca gli altri trasferimenti consentiti: ≪Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato: a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all’inosservanza delle garanzie medesime; b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti≫.
[55] Si veda l’art. 45 del d.lgs. n. 196/2003.
[56] Si veda quanto riportato nella relazione della BSA – Business Software Alliance, c.d. 2013 BSA Global Cloud Compunting Scorecard, che costituisce un’analisi delle mutevoli politiche relative al cloud computing. La BSA – Business Software Alliance è un’organizzazione anti-pirateria leader nella promozione di politiche pubbliche per il commercio elettronico e l’innovazione tecnologica. Disponibile al seguente link: http://cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloudScorecard2013.pdf . Si veda altresì la parte dedicata al Brasile: http://cloudscorecard.bsa.org/2013/assets/PDFs/country_reports/Country_Report_Brazil.pdf.
[57] d.lgs. n. 196/2003, art. 37: ≪il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale≫.
24 novembre 2015