martedì 28 ottobre 2008

La privacy on line: quali regole


di Marco Maglio - Avvocato - Professore di diritto privato dei consumi e del marketing

Internet enciclopedia contemporanea
Quali regole vanno seguite per raccogliere informazioni in Internet? La domanda è frequente perché ormai la Rete è diventata il luogo nel quale è più facile ed economico raccogliere notizie e dati. È un po' un'Enciclopedia contemporanea dove si può trovare di tutto su ogni argomento. In particolare per chi svolge attività commerciale e di comunicazione, Internet è un potente strumento per conoscere ciò che serve per svolgere attività di marketing e di vendita. In rete è possibile raccogliere dati preziosi che dicono moltissimo sugli interessi dei navigatori. Non è un caso se da qualche tempo soprattutto le grandi multinazionali hanno creato organizzazioni che gestiscono siti esclusivamente con l'intento di raccogliere informazioni sugli hobbies, le abitudini, le preferenze delle persone. In cambio offrono gadget, partecipazioni a concorsi oppure semplicemente servizi: il caso tipico e quello delle newsletter settoriali. L'obiettivo è quello di creare profili di potenziali clienti ai quali rivolgere offerte e proposte commerciali.
Il problema della tutela dei dati in rete
Così aumenta l'esigenza di tutelare i diritti dei navigatori e di fornire informazioni concrete agli operatori del web (service provider, web master, gestori dei siti) per capire come ci si debba comportare. Non è facile dare una risposta univoca perché in Internet è assai difficile stabilire il limite territoriale di applicazione di una legge: può succedere che la raccolta dei dati venga effettuata da siti posti in paesi che offrono minori protezioni rispetto allo stato di appartenenza del navigatore. E allora quale legge si applica? E soprattutto come si può tutelare il cittadino?
Verso le regole globali: la Raccomandazione di Atene
Da qualche anno ormai esiste un provvedimento che fa luce finalmente sulla materia: è la cosiddetta Raccomandazione di Atene, formulata nel 2002 dal Comitato dei Garanti Europei per la protezione dei dati personali.
Di cosa si tratta? È una serie di indicazioni che fissano un "nucleo minimo" per la tutela di chi utilizza internet. Il principio fondamentale che va rispettato è questo: è necessario che il navigatore sappia che qualcuno sta raccogliendo informazioni sul suo conto; vengono distinti un primo gruppo di notizie che ciascun sito deve fornire a tutti i visitatori, in modo snello e visibile, e un nucleo più articolato di informazioni che il sito può fornire in altre pagine web evidenziando l'intera privacy policy del sito stesso.
Le indicazioni riguardano, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari devono fornire agli utenti quando questi si collegano a pagine web, indipendentemente dagli scopi del collegamento.
Il futuro della privacy on line: il "Bollino di qualità"
La Raccomandazione si applica a tutti i dati raccolti da siti che siano stabiliti in uno degli Stati dell'UE, oppure che non siano stabiliti nell'UE ma utilizzino apparecchiature situate sul territorio di uno Stato dell'UE. L'obiettivo finale è quello di creare una piattaforma di valori condivisi su base internazionale per l'emanazione di norme uniformi nei singoli ordinamenti nazionali. Ma, come sempre, in Internet non è sufficiente fissare le norme: occorre un approccio integrato che accanto alle regole nazionali ed internazionali dia spazio all'autodisciplina ed all'autotutela. Così uno degli obiettivi dichiarati della Raccomandazione di Atene è quello di arrivare all'emanazione di un sistema di certificazione ed un "bollino di qualità" che certifichi la rispondenza delle procedure di raccolta dei dati alle regole base fissate dall'Unione Europea.
Si tratterà ora di stabilire quali Enti o Associazioni avranno la forza di raccogliere questa sfida e favoriranno la diffusione delle garanzie minime per gli utenti di Internet.
La privacy, nodo per lo sviluppo del commercio elettronico e di internet
È in gioco la credibilità stessa della Rete, spesso accusata ingiustamente di essere artefice di tutti i mali della società moderna. Per non perdere la fiducia dei navigatori, i siti seri e rigorosi devono potersi distinguere da quelli disinvolti e ingannevoli. Questa è un'esigenza fondamentale per garantire un futuro alla Rete. Internet è uno straordinario strumento di comunicazione utilizzato da tutti. Non è un fatto nuovo nella storia dell'Umanità: è già successo con le grandi vie di comunicazione nel medioevo, dove i viandanti potevano essere aggrediti dai briganti ad ogni angolo della strada. Internet, a quanto pare, ha molti angoli.

Data l'importanza del tema, chi desidera conoscere in dettaglio le regole della Raccomandazione di Atene trova un ulteriore approfondimento, seguendo le domande e le risposte di questo test sui generis.

Il TEST

Quattro regole per un test rapido

Una domanda a bruciapelo per chi raccoglie dati personali in rete: rispettate le garanzie minime per gli utenti in Internet?
Facciamo un rapido test, senza crocette e senza punteggi, per scoprire se i siti con i quali avete a che fare, come gestori o come concorrenti, rispettano le regole fissate dalla Raccomandazione di Atene emanata dal Comitato dei Garanti Europei il 17 maggio 2002 per disciplinare la raccolta dei dati personali.
Succede frequentemente che in Internet vengano raccolti dati personali per l'invio di newsletter, per acquisti on line, per iscrizione a forum, per accedere a servizi in rete o per mille atre iniziative di marketing.
Per verificare se i dati sono raccolti legittimamente e se gli utenti possono compilare i formulari on line a cuor leggero, ecco in dettaglio le regole minime che a giudizio dei Garanti Europei devono essere rispettate. Leggete le norme e domandatevi se tutto è a posto con la vostra azienda. Il test è semplice.
1. Regola numero uno: su cosa informare il navigatore
Occorre fornire preventivamente a chiunque si colleghi ad un sito web che preveda la raccolta di dati personali, le seguenti notizie: identità e indirizzo (elettronico o meno) di chi raccoglie i dati, finalità della raccolta, obbligatorietà delle informazioni richieste all'utente (vi possono essere dati necessari per fornire un servizio richiesto da un utente, mentre altri sono opzionali), modalità per esercitare i diritti di accesso, rettifica, cancellazione, opposizione al trattamento, destinatari eventuali delle informazioni raccolte (e in tal caso l'utente deve avere la possibilità di opporsi alla trasmissione dei suoi dati ad altri soggetti, per scopi diversi da quelli per cui gli vengono richiesti dal sito - ad esempio cliccando su una casella specifica), eventuale utilizzo di procedure automatiche per la raccolta dei dati (è il caso, ad esempio, dei cookies), misure di sicurezza adottate per garantire l'integrità e la riservatezza dei dati richiesti.
2. Regola numero due: come informare il navigatore
È necessario fornire le informazioni sopra elencate direttamente sul monitor del singolo utente, prima che avvenga la raccolta dei suoi dati; per farlo si può ricorrere alle varie possibilità messe a disposizione dalla tecnologia attuale: finestre "a scomparsa", caselle da cliccare, messaggi "pop-up". È opportuno inoltre che sulla pagina di accoglienza del sito vi sia un'indicazione chiara e comprensibile dell'esistenza di un'informativa sulla privacy (ad esempio "Questo sito raccoglie e tratta dati personali che la riguardano. Per ulteriori informazioni, clicchi qui").
3. Regola numero tre: raccogliere solo i dati necessari
Bisogna tenere presente che i titolari del sito hanno anche altri obblighi, oltre al dovere di informare adeguatamente gli interessati. In particolare, è indispensabile che la raccolta di dati personali sia necessaria per le finalità specificate: pertanto, se l'obiettivo che il titolare si prefigge (fornire un servizio, un'informazione, ecc.) può essere raggiunto senza elaborare dati personali, questi non devono essere raccolti. Nella stessa ottica, si sottolinea l'opportunità di favorire ed accettare l'impiego di pseudonimi quando questi ultimi permettano comunque di svolgere determinate transazioni. Inoltre, non devono essere raccolti più dati di quelli necessari per lo scopo dichiarato (è il principio cosiddetto di "pertinenza"), e i dati raccolti devono essere conservati solo per un periodo giustificato dalle finalità del trattamento.
4. Regola numero quattro: non usare indirizzi ricavati dalle aree pubbliche dei siti
non è consentito utilizzare indirizzi di posta elettronica ricavati da "aree pubbliche" di Internet (ad esempio, gruppi di discussione) per attività di marketing, nel caso in cui i diretti interessati non ne siano stati informati; se invece gli interessati sono stati informati della possibilità che i dati forniti in una sede determinata vengano utilizzati per scopi di marketing diretto, e hanno avuto la possibilità di dare il proprio consenso a questa forma di utilizzazione (magari cliccando online su una casella apposita), in tal caso l'uso di indirizzi di e-mail per fini di marketing è da ritenersi lecito.

Come è andato il test?
Le regole sono finite. Non sono complicate ma chiedono di essere rispettate. Se avete fatto questo test e la situazione che avete in mente non corrisponde a tutte queste indicazioni fareste bene a correre ai ripari con urgenza. Sono in arrivo norme specifiche per garantire il rispetto delle Garanzie minime sia a livello comunitario che in ambito nazionale. Muoversi in anticipo può essere la mossa vincente in un mercato fortemente concorrenziale. Vi terremo informati in tempo reale.