PROGETTO DI LEGGE
Articolo 1
Articolo 2
Articolo 3
Articolo 4
Articolo 5
Articolo 6
Articolo 7
Articolo 8
Articolo 9
Articolo 10
Articolo 11
Articolo 12
XVIII LEGISLATURA
CAMERA DEI DEPUTATI
N. 3020
PROPOSTA DI LEGGE
d'iniziativa dei deputati
ZANELLA, MOLINARI, BAZZARO, BELOTTI, BIANCHI, BILLI, BOLDI, BUBISUTTI, CANTALAMESSA, CAPITANIO, CARRARA, VANESSA CATTOI, COVOLO, ANDREA CRIPPA, DONINA, FANTUZ, FIORINI, FOGLIANI, FOSCOLO, FURGIUELE, GERMANÀ, GIACOMETTI, GOBBATO, GUSMEROLI, LUCENTINI, MACCANTI, PAOLIN, PATASSINI, PATELLI, PICCOLO, PRETTO, RIBOLLA, SUTTO, TATEO, TIRAMANI, TONELLI, VALBUSA, VALLOTTO, ZENNARO, ZORDAN
Disposizioni per la tutela della dignità della persona nella rete internet e per il contrasto ai fenomeni di cyberbullismo
Presentata il 14 aprile 2021
Onorevoli Colleghi! – La presente proposta di legge mira a contrastare ogni forma di violazione della dignità della persona, con particolare attenzione ai minori che sono i soggetti più esposti, nella rete internet, mediante l'introduzione di misure preventive e sanzionatorie, nonché di regole deontologiche e di sistemi di certificazione applicabili ai trattamenti di dati personali svolti dai gestori dei siti internet.
Le misure introdotte consentono, inoltre, di garantire il miglior equilibrio possibile tra una serie di interessi costituzionalmente rilevanti suscettibili di confliggere tra loro: le esigenze di tutela della persona (soprattutto se minorenne), la libertà di espressione e di manifestazione del pensiero (sempre più esercitata nella rete internet) e la libertà di iniziativa economica dei gestori delle piattaforme digitali.
Al fine di contemperare questi interessi costituzionalmente rilevanti, assicurando che la doverosa garanzia della libertà nella rete internet non degeneri in anomia, si è fatto ricorso a due degli strumenti di tutela preventiva e di autodisciplina che la più avanzata normativa dell'Unione europea promuove, in particolare in materia di protezione dei dati personali. In primo luogo, dunque, si prevede l'adozione (articoli 3 e 4) di specifiche regole deontologiche da parte dei gestori delle piattaforme digitali, su impulso del Garante per la protezione dei dati personali, al fine di garantire l'effettiva tutela della persona, anche minorenne, nella rete internet, contrastandone le condotte a vario titolo lesive della dignità.
Lo strumento delle regole deontologiche – che ha dato ottima prova di sé nel campo della protezione dei dati personali – è particolarmente indicato in un settore, quale quello in esame, in cui la doverosa tutela della persona incontra il duplice limite dell'esigenza di non comprimere oltre misura la libertà di espressione e della componente tecnologica, capace di eludere (in assenza di un'adeguata responsabilizzazione dei gestori che la utilizzano) anche norme astrattamente assai stringenti. A questo duplice ordine di limiti le regole deontologiche contrappongono la «forza» derivante dall'essere una vera e propria fonte secondaria (ancorché atipica), ma caratterizzata da un'elevata aspettativa di effettività. E questo in ragione del ruolo centrale svolto dall'ente esponenziale della categoria professionale cui si applicano in fase di formazione dei contenuti prescrittivi e, dunque, anche dell'aderenza delle regole sancite al particolare settore di riferimento.
Espressione del tutto peculiare di un'idea di sussidiarietà normativa orizzontale, le regole deontologiche consentono di introdurre nell'ordinamento regole di condotta a volte anche più effettive ed efficaci di quelle eteronome, perché più aderenti alle caratteristiche della realtà di riferimento e più duttili rispetto all'esigenza di adeguamento all'evoluzione della tecnologia e della società. Il presidio sanzionatorio (di natura amministrativa) posto a tutela dell'effettività delle regole deontologiche ne rafforza, del resto, la capacità deterrente senza tuttavia fare ricorso alla sanzione penale, sconsigliabile in un contesto caratterizzato dall'intersezione tra più libertà fondamentali e, soprattutto, a fronte dell'ipertrofia da cui è affetto il nostro ordinamento penale, tale da depotenziare la tradizionale efficacia general-preventiva della sanzione penale.
L'ulteriore strumento al quale la presente proposta di legge fa ricorso, all'articolo 11, in chiave preventiva, è quello delle certificazioni previste dal regolamento europeo sulla protezione dei dati (regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016), il cui possesso da parte dei gestori vale a dimostrare la legittimità dei trattamenti effettuati e l'adozione di misure volte alla tutela della persona, anche minore, nella rete internet, secondo criteri stabiliti dal Garante per la protezione dei dati personali con proprio provvedimento. Si tratta di uno strumento suscettibile di adesione a titolo volontario, ma idoneo a promuovere, a fronte di una presunzione relativa di legittimità della condotta del titolare, l'adozione di misure efficaci in chiave preventiva e di autodisciplina per garantire la tutela della persona, selezionando le migliori soluzioni tecniche e organizzative a tale fine disponibili.
L'articolo 5 precisa – con norma di grande rilevanza sistematica – che, nei limiti consentiti dal diritto dell'Unione europea, la causa di esclusione dell'applicabilità della disciplina in materia di protezione di dati (capace di per sé di assicurare una tutela rilevantissima alla dignità della persona, soprattutto nella rete internet) prevista per i trattamenti svolti per fini personali non deve intendersi sussistente rispetto a condotte (quali la comunicazione a destinatari plurimi o la diffusione) che comportino la fuoriuscita del dato dalla sfera di signoria dell'agente. Tale disposizione – volta a evitare i possibili fraintendimenti che potrebbero derivare dalla successione normativa registratasi in questa materia – consente di assicurare, senza aporie o dubbi interpretativi, una tutela di assoluto rilievo (anche ai fini penali) alla persona rispetto alla generalità delle condotte realizzate nella rete internet, per garantirne la natura realmente democratica di spazio di esercizio (e non di violazione) delle libertà.
Gli articoli 6, 7 e 8 apprestano un presidio rafforzato a tutela dei minori, realizzando una finalità già prefigurata dalla normativa europea, ma rispetto alla quale il nostro legislatore non ha ancora dato una risposta soddisfacente.
L'articolo 6 prevede che, nel caso di un minore che abbia compiuto quattordici anni, il trattamento è lecito se la manifestazione del consenso è accompagnata dalla trasmissione della carta d'identità in copia fotostatica, o di un documento valido equipollente, e dall'indicazione del codice fiscale. Inoltre, i titolari del trattamento devono adottare strumenti e misure di organizzazione interna idonei a verificare l'età effettiva degli utenti e la valida espressione del consenso.
L'articolo 7 prevede che, per quanto concerne le segnalazioni delle attività illecite previste dalla legge sul cyberbullismo (legge 29 maggio 2017, n. 71), ciascun dominio debba dotarsi di un indirizzo di posta elettronica dedicato al fine di rendere agevole, tempestiva e trasparente la tutela degli interessati, qualora individuino violazioni dei propri diritti.
L'articolo 8 prevede, in conformità alla giurisprudenza di merito che si è formata nel corso degli ultimi anni, che ciascun sito internet deve avere un amministratore responsabile, individuato secondo i requisiti stabiliti con proprio regolamento dall'Autorità per le garanzie nelle comunicazioni, al fine di assicurare la libera, trasparente e responsabile utilizzazione della rete. Lo stesso articolo prevede, inoltre, che gli amministratori adottino misure certe e proporzionate per impedire l'utilizzo della rete internet ai fini della realizzazione di attività illecite o gravemente lesive della dignità delle persone.
L'articolo 9, nella medesima logica, stabilisce che il Garante per la protezione dei dati personali designi un apposito ufficio dedicato a raccogliere le segnalazioni di attività illecite, con prioritario riguardo a quelle che concernono il trattamento dei dati personali dei minori, e a dare corso agli adempimenti conseguenti, secondo princìpi di trasparenza, semplificazione, efficacia ed efficienza.
L'articolo 10 prevede che, in attuazione della normativa sull'insegnamento obbligatorio dell'educazione civica (legge 20 agosto 2019, n. 92), l'offerta formativa erogata nell'ambito dell'educazione alla cittadinanza digitale comprenda anche la sensibilizzazione degli alunni e degli studenti sulla violazione della dignità della persona nella rete internet.
Come già ricordato, l'articolo 11 prevede che il Garante per la protezione dei dati personali, con proprio provvedimento di carattere generale, definisca i criteri per il rilascio ai fornitori di servizi della società dell'informazione, ai sensi e per gli effetti di cui all'articolo 42 del citato regolamento (UE) 2016/679, di specifiche certificazioni volte a dimostrare la legittimità dei trattamenti effettuati e l'adozione di misure volte alla tutela della persona, anche minore, nella rete internet.
L'articolo 12, infine, prevede l'invarianza finanziaria della presente proposta di legge.
PROPOSTA DI LEGGE
Art. 1.
(Princìpi)
1. La Repubblica garantisce il rispetto nella rete internet dei diritti fondamentali di ogni persona riconosciuti dall'ordinamento italiano, da quello dell'Unione europea e dai trattati internazionali cui l'Italia ha aderito.
2. La Repubblica garantisce e tutela, altresì, la libertà di manifestazione del pensiero, il diritto di informare e di essere informati, il pluralismo democratico e la libertà di iniziativa economica nella rete internet.
Art. 2.
(Finalità e definizione)
1. La presente legge è finalizzata a contrastare ogni forma di violazione della dignità della persona, con particolare attenzione ai minori in quanto soggetti più esposti, nella rete internet, mediante l'introduzione di misure preventive e sanzionatorie, nonché di regole deontologiche e di sistemi di certificazione applicabili ai trattamenti di dati personali effettuati dai gestori dei siti internet.
2. Ai fini della presente legge, per gestore di un sito internet si intende il prestatore di servizi della società dell'informazione, diverso da quelli di cui agli articoli 14, 15 e 16 del decreto legislativo 9 aprile 2003, n. 70, che, nella rete internet, cura la gestione dei contenuti di un sito.
Art. 3.
(Regole deontologiche per la tutela del minore nella rete internet)
1. Il Garante per la protezione dei dati personali promuove l'adozione, ai sensi e per gli effetti dell'articolo 2-quater del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, da parte dei prestatori di servizi della società dell'informazione, di regole deontologiche per la tutela del minore nella rete internet, al fine di contrastare le condotte di cui all'articolo 1, comma 2, della legge 29 maggio 2017, n. 71, nonché la realizzazione, per via telematica, dei delitti di cui agli articoli 609-bis, 609-quater, 609-quinquies, 609-octies e 609-undecies del codice penale, aggravati ai sensi dell'articolo 609-duodecies del medesimo codice.
2. Ai trattamenti di dati personali effettuati dai soggetti di cui al comma 1 del presente articolo nell'ambito dello svolgimento delle attività oggetto delle regole deontologiche di cui al medesimo comma 1 si applica l'articolo 2-quater, comma 4, del codice di cui al decreto legislativo 30 giugno 2003, n. 196.
Art. 4.
(Regole deontologiche per la tutela della persona e per il contrasto delle molestie nella rete internet)
1. Il Garante per la protezione dei dati personali promuove l'adozione, ai sensi e per gli effetti dell'articolo 2-quater del codice di cui al decreto legislativo 30 giugno 2003, n. 196, da parte dei fornitori di servizi della società dell'informazione, di regole deontologiche per la tutela della persona nella rete internet, fuori dei casi di cui all'articolo 3, comma 1, della presente legge, al fine di contrastare la realizzazione, per via telematica, dei delitti di cui agli articoli 167, 167-bis e 167-ter del citato codice di cui al decreto legislativo n. 196 del 2003 e agli articoli 595, 604-bis, 612, 612-bis, 617 e 617-septies del codice penale.
2. Ai trattamenti di dati personali effettuati dai soggetti di cui al comma 1 del presente articolo nell'ambito dello svolgimento delle attività oggetto delle regole deontologiche di cui al medesimo comma 1 si applica l'articolo 2-quater, comma 4, del codice di cui al decreto legislativo 30 giugno 2003, n. 196.
Art. 5.
(Modifiche all'articolo 1 del codice di cui al decreto legislativo 30 giugno 2003, n. 196, in materia di ambito di applicazione)
1. All'articolo 1 del codice di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) è aggiunto, in fine, il seguente comma:
«1-bis. Ai fini dell'applicabilità delle disposizioni in materia di protezione dei dati personali, la causa di esclusione di cui all'articolo 2, paragrafo 2, lettera c), del Regolamento deve ritenersi insussistente nel caso di un trattamento che comporti la diffusione o la comunicazione a destinatari plurimi»;
b) alla rubrica sono aggiunte, in fine, le seguenti parole: «e ambito di applicazione».
Art. 6.
(Modifiche all'articolo 2-quinquies del codice di cui al decreto legislativo 30 giugno 2003, n. 196, in materia di consenso del minore)
1. All'articolo 2-quinquies del codice di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) al comma 1 sono aggiunti, in fine, i seguenti periodi: «Nel caso di minore che abbia compiuto i quattordici anni, il trattamento è lecito se la manifestazione del consenso è accompagnata dalla trasmissione della carta d'identità in copia fotostatica o da un documento valido equipollente e dall'indicazione del codice fiscale. Alla trasmissione dei documenti di riconoscimento deve essere, altresì, allegata la dichiarazione del reale utilizzatore del profilo o dell'account legato al trattamento dei dati, debitamente sottoscritta»;
b) al comma 2 sono aggiunti, in fine, i seguenti periodi: «I titolari del trattamento adottano, inoltre, strumenti e misure di organizzazione interna idonei a verificare l'età effettiva degli utenti e la valida espressione del consenso. Il Garante adotta linee guida per l'attuazione del presente comma».
Art. 7.
(Modifica all'articolo 2 della legge 29 maggio 2017, n. 71, in materia di indirizzi di posta elettronica certificata per la tutela della dignità del minore)
1. Al comma 1 dell'articolo 2 della legge 29 maggio 2017, n. 71, è aggiunto, in fine, il seguente periodo: «Ciascun gestore del sito internet o del social media deve dotarsi di un indirizzo di posta elettronica certificata dedicato all'inoltro delle istanze di cui al presente comma».
Art. 8.
(Amministratore responsabile)
1. Ogni sito internet deve avere un amministratore responsabile, individuato secondo i requisiti stabiliti con proprio regolamento dall'Autorità per le garanzie nelle comunicazioni, al fine di assicurare la libera, trasparente e responsabile utilizzazione della rete.
2. L'amministratore responsabile di cui al comma 1 adotta misure certe e proporzionate per impedire l'utilizzo della rete internet ai fini della realizzazione di attività illecite o gravemente lesive della dignità delle persone.
Art. 9.
(Ufficio per le segnalazioni di attività illecite)
1. Il Garante per la protezione dei dati personali individua un apposito ufficio incaricato di raccogliere le segnalazioni di attività illecite e dare corso agli adempimenti conseguenti, con prioritario riguardo alle segnalazioni che concernono il trattamento dei dati personali dei minori, organizzato secondo princìpi di trasparenza, semplificazione, efficacia ed efficienza.
Art. 10.
(Educazione alla cittadinanza digitale)
1. Ai sensi dell'articolo 5 della legge 20 agosto 2019, n. 92, l'offerta formativa erogata nell'ambito dell'educazione alla cittadinanza digitale comprende anche la sensibilizzazione degli alunni e degli studenti sulla violazione della dignità della persona nella rete internet.
Art. 11.
(Certificazioni)
1. Entro sei mesi dalla data di entrata in vigore della presente legge, il Garante per la protezione dei dati personali, con proprio provvedimento di carattere generale, definisce i criteri per il rilascio ai fornitori di servizi della società dell'informazione, ai sensi e per gli effetti di cui all'articolo 42 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di specifiche certificazioni volte a dimostrare la legittimità dei trattamenti effettuati e l'adozione di misure volte alla tutela della persona, anche minorenne, nella rete internet.
Art. 12.
(Clausola di invarianza finanziaria)
1. Le amministrazioni interessate provvedono all'attuazione delle disposizioni di cui alla presente legge nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri a carico della finanza pubblica.
