FONTE: Sito del Garante della Privacy - Home > Newsletter > 2001 > Newsletter 14

FONTE: Sito del Garante della Privacy - Home > Newsletter > 2001 > Newsletter 14 - 20 maggio 2001 >

Dai Garanti europei le prime regole per Internet 14 Maggio 2001

GARANZIE MINIME PER GLI UTENTI DI INTERNET. LA RACCOMANDAZIONE DEI GARANTI EUROPEI PER LA RACCOLTA DI DATI PERSONALI ONLINE

Arrivano le prime regole specifiche per il cyberspazio. Il 17 maggio le autorità per la protezione dei dati dell’Unione europea, presiedute da Stefano Rodotà, hanno adottato una Raccomandazione, indirizzata al Consiglio d’Europa, alla Commissione, al Parlamento europeo ed agli Stati membri, che fissa alcuni requisiti minimi per la raccolta di dati personali online.

La Raccomandazione nasce dall’esigenza di fornire indicazioni concrete sia agli operatori del settore responsabili del trattamento di dati personali nell’ambito di siti web (i "titolari", secondo la definizione della Direttiva) sia ai singoli cittadini; essa è rivolta anche agli enti che intendono creare un "bollino di qualità" che certifichi la rispondenza delle procedure di trattamento utilizzate alle direttive dell’UE in materia.

L'aspetto significativo risiede anzitutto nella distinzione tra un primo gruppo di notizie che ciascun sito deve fornire a tutti i visitatori, in modo snello e visibile, e un nucleo più articolato di informazioni che il sito può fornire in altre pagine web evidenziando l'intera privacy policy del sito stesso.

Le indicazioni riguardano, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari devono fornire agli utenti quando questi si collegano a pagine web, indipendentemente dagli scopi del collegamento. I Garanti sottolineano che i requisiti indicati sono un nucleo "minimo" e che potranno essere integrati, in futuro, da ulteriori raccomandazioni di natura più specifica (ad esempio, per quanto riguarda il trattamento di dati "sensibili" o relativi a minori, oppure i trattamenti per scopi di natura sanitaria).

La Raccomandazione si applica a tutti i trattamenti effettuati da titolari che siano stabiliti in uno degli Stati dell’UE, oppure che non siano stabiliti nell’UE ma utilizzino, ai fini del trattamento, apparecchiature o dispositivi situati sul territorio di uno Stato membro dell’UE - secondo quanto prevede la direttiva 95/46/CE in materia di protezione dei dati personali.

I Garanti raccomandano pertanto:

1. di fornire preventivamente a chiunque si colleghi ad un sito web che preveda la raccolta di dati personali le informazioni indicate nella direttiva: identità e indirizzo (elettronico o meno) del titolare, finalità del trattamento, obbligatorietà delle informazioni richieste all’utente (vi possono essere dati necessari per fornire un servizio richiesto da un utente, mentre altri sono opzionali), modalità per esercitare i diritti di accesso, rettifica, cancellazione, opposizione al trattamento, destinatari eventuali delle informazioni raccolte (e in tal caso l’utente deve avere la possibilità di opporsi alla trasmissione dei suoi dati ad altri soggetti, per scopi diversi da quelli per cui gli vengono richiesti dal sito - ad esempio cliccando su una casella specifica), eventuale utilizzo di procedure automatiche per la raccolta dei dati (è il caso, ad esempio, dei cookies), misure di sicurezza adottate per garantire l’integrità e la riservatezza dei dati richiesti;

2. di fornire le informazioni sopra elencate direttamente sul monitor del singolo utente, prima che avvenga la raccolta dei suoi dati, così da garantire che il trattamento avvenga in modo leale come prescrive la direttiva; per farlo si può ricorrere alle varie possibilità messe a disposizione dalla tecnologia attuale: finestre "a scomparsa", caselle da cliccare, messaggi "pop-up". E’ opportuno inoltre che sulla pagina di accoglienza del sito vi sia un’indicazione chiara e comprensibile dell’esistenza di un’informativa sulla privacy (ad esempio "Questo sito raccoglie e tratta dati personali che la riguardano. Per ulteriori informazioni, clicchi qui");

3. di tenere presente che i titolari hanno anche altri obblighi sanciti sempre dalla direttiva, oltre al dovere di informare adeguatamente gli interessati. In particolare, è necessario che la raccolta di dati personali sia necessaria per le finalità specificate: pertanto, se l’obiettivo che il titolare si prefigge (fornire un servizio, un’informazione, ecc.) può essere raggiunto senza elaborare dati personali, questi non devono essere raccolti. Nella stessa ottica, si sottolinea l’opportunità di favorire ed accettare l’impiego di pseudonimi quando questi ultimi permettano comunque di svolgere determinate transazioni. Inoltre, non devono essere raccolti più dati di quelli necessari per lo scopo dichiarato (è il principio cosiddetto di "pertinenza"), e i dati raccolti devono essere conservati solo per un periodo giustificato dalle finalità del trattamento;

4. di non utilizzare indirizzi di posta elettronica ricavati da "aree pubbliche" di Internet (ad esempio, gruppi di discussione) per attività di marketing, nel caso in cui i diretti interessati non ne sono stati informati; se invece gli interessati sono stati informati della possibilità che i dati forniti in una sede determinata vengano utilizzati per scopi di marketing diretto, e hanno avuto la possibilità di dare il proprio consenso a questa forma di utilizzazione (magari cliccando online su una casella apposita), in tal caso l’uso di indirizzi di e-mail per fini di marketing è da ritenersi lecito. I titolari devono inoltre garantire che l’utente abbia la possibilità di ritirare il consenso all’uso dei suoi dati per fini commerciali.