Newsletter 27 novembre - 3 dicembre 2000  

• Videosorveglianza. Le regole per non violare la privacy
• Usa. Privacy a rischio per le vendite di dati

Videosorveglianza. Le regole per non violare la privacy

L´Autorità Garante ha individuato alcune regole per rendere conforme alle norme sulla privacy l´installazione di telecamere in luoghi pubblici e privati, fenomeno in costante crescita.

In attesa di una specifica normativa che disciplini l´utilizzo dei sistemi di videosorveglianza, il Garante ha ritenuto necessario indicare gli adempimenti, le garanzie e le tutele già oggi necessarie in base ai principi della legge sulla protezione dei dati. Le regole base della disciplina sul trattamento dei dati personali sono, infatti, già applicabili alle immagini ed ai suoni, nel caso in cui le apparecchiature che li rilevano permettano di identificare, in modo diretto o indiretto, le persone.

D´ora in avanti, dunque, chi intende installare impianti stabili e comunque non occasionali, cioè sistemi, reti ed apparecchiature che permettono la ripresa e l´eventuale registrazione di immagini, in particolare a fini di sicurezza, di tutela del patrimonio, di controllo di determinate aree e di monitoraggio del traffico o degli accessi di veicoli nei centri storici, dovrà osservare le regole indicate dal Garante, rispettando innanzitutto il principio di proporzionalità tra mezzi impiegati e fini perseguiti, anche per evitare l´applicazione delle sanzioni previste dalle norme vigenti.

Questo il decalogo:

1. occorre chiarire gli scopi che si intendono perseguire e verificare se sono leciti in base alle norme vigenti: se l´attività è svolta, ad esempio, per prevenire pericoli concreti o specifici reati, occorre rispettare le competenze che le leggi assegnano per tali fini solo a determinate amministrazioni pubbliche;
2. il trattamento dei dati deve avvenire per scopi determinati, espliciti e legittimi;
3. i soggetti che sono tenuti a notificare al Garante l´esistenza di banche dati devono indicare fra le modalità di trattamento anche la raccolta di informazioni mediante apparecchiature di videosorveglianza;
4. i cittadini devono essere informati, in maniera chiara anche se sintetica, della presenza di telecamere e dei diritti che possono esercitare sui propri dati, tanto più se le apparecchiature non sono immediatamente visibili;
5. per il controllo a distanza dei lavoratori rimangono comunque validi i divieti e le garanzie previsti dallo Statuto dei lavoratori;
6. i dati raccolti devono essere quelli strettamente necessari agli scopi perseguiti: vanno pertanto registrate solo le immagini indispensabili, va limitato l´angolo visuale delle riprese, vanno evitate immagini dettagliate o ingrandite e, di conseguenza, vanno stabilite in maniera adeguata la localizzazione delle telecamere e le modalità di ripresa;
7. va stabilito con precisione entro quanto tempo le immagini devono essere cancellate e occorre prevedere la loro conservazione solo in relazione a illeciti che si siano verificati o a indagini giudiziarie o di polizia;
8. vanno individuate, con designazione scritta, le persone che possono utilizzare gli impianti e prendere visione delle registrazioni e deve essere vietato l´accesso alle immagini ad altri soggetti, salvo che si tratti di indagini giudiziarie o di polizia;
9. i dati raccolti per determinati fini (ad esempio sicurezza, tutela del patrimonio) non possono essere utilizzati per finalità diverse o ulteriori (ad esempio per pubblicità, analisi dei comportamenti di consumo), fatte salve le esigenze di polizia o di giustizia e non possono essere diffusi o comunicati a terzi;
10. le immagini registrate per la rilevazione degli accessi dei veicoli ai centri storici devono rispettare l´apposito regolamento (D.P.R. 250/1999) ed essere conservate per il solo periodo necessario alla contestazione delle infrazioni.
    

Un discorso a parte va fatto per gli impianti di videosorveglianza finalizzati esclusivamente alla sicurezza individuale (ad esempio il controllo dell´accesso alla propria abitazione). Questi impianti, ove perseguano effettivamente tale scopo, non rientrano nell´ambito di applicazione della legge sulla riservatezza essendo il trattamento effettuato a fini personali.

Tuttavia vanno comunque rispettati alcuni obblighi: le riprese devono essere limitate al solo spazio antistante tali accessi, evitando forme di videosorveglianza su aree circostanti che potrebbero limitare la libertà altrui. Le informazioni raccolte, inoltre, non devono essere comunicate o diffuse ad altri.

Usa. Privacy a rischio per le vendite di dati
(The New York Times on the Web, 4 dicembre)

Per le società su Internet che rischiano il fallimento, l’elenco dei beni posti in vendita per rifondere i creditori è simile a quello della maggioranza delle società che fanno bancarotta nel mondo reale: articoli inventariati, apparecchiature, proprietà immobiliari, marchi di fabbrica, e, in molti casi, veri e propri tesori di informazioni sulla clientela.

Ma i dati relativi alla clientela (nomi, indirizzi), che sono tradizionalmente oggetto di compravendita nel mondo offline, sono al centro di numerose controversie nel mondo online proprio mentre varie imprese in difficoltà operanti su Internet (e i rispettivi legali) cercano di individuare i beni da mettere all’asta. Il punto più ostico è rappresentato dalle dichiarazioni della politica seguita dalle singole società in materia di privacy - ossia, le garanzie adottate da molte imprese operanti su Internet per rassicurare la clientela sull’impossibilità che i loro dati personali siano comunicati a terzi.

Sinora la Federal Trade Commission e vari ministri della giustizia di singoli Stati degli USA sono intervenuti in almeno due casi per impedire a defunte società su Internet di vendere i dati della clientela, o per imporre condizioni alle quali tale vendita doveva avvenire. Ma alcuni legali ritengono che certe disposizioni di legge in materia fallimentare prevalgano sulle norme regolamentari della FTC. In assenza di una chiara indicazione di legge, le società in liquidazione procedono con cautela in questo tipo di vendite tentando di trovare un compromesso fra gli interessi dei creditori e le preoccupazioni dei consumatori per la loro privacy. Intanto, un numero sempre più consistente di società che operano su Internet provvede a modificare la rispettiva politica in materia di privacy così da permettere la vendita di informazioni sulla clientela qualora si rendesse necessaria la vendita della società stessa o del suo asse patrimoniale.

"Purtroppo su questo tema non c’è molta chiarezza", ha dichiarato Eric London, responsabile delle tematiche pubbliche presso la FTC. La FTC si è occupata di questo problema per la prima volta durante la scorsa estate, dopo che la ToySmart.com aveva pubblicato un annuncio sul Wall Street Journal in cui invitava a presentare offerte per l’acquisto del database relativo alla clientela. Dato che la ToySmart aveva promesso ai clienti, nella dichiarazione della politica in materia di privacy, che non avrebbe mai comunicato a terzi le informazioni che li riguardavano, la FTC e almeno 40 ministri della giustizia di vari Stati hanno citato la società in giudizio con l’accusa di comportamento ingannevole.

Le due parti hanno raggiunto un accordo stragiudiziale in base al quale l’acquirente, chiunque fosse, doveva operare in un settore di impresa correlato, doveva acquistare l’intero sito Web e accettare di non rivendere i dati senza il consenso dei clienti. Ad agosto, un tribunale speciale in materia fallimentare del Massachusetts ha stabilito che la questione privacy era del tutto irrilevante. "Il giudice ha detto: in questo momento non ci sono acquirenti, dunque aspettiamo di vedere che succede", ha spiegato London. "La questione è al momento in purgatorio."

Mentre il caso ToySmart resta irrisolto, altri se ne sono presentati e almeno uno di essi è finito in tribunale. A settembre, l’ufficio del ministro della giustizia del Texas ha citato in giudizio la Living.com, una società che vendeva articoli di arredamento online, per impedire la vendita delle informazioni relative alla clientela. Il tribunale fallimentare ha infine approvato un accordo in base al quale la Living.com poteva vendere nominativi e indirizzi di posta elettronica dei clienti purché questi ultimi avessero la possibilità di manifestare la propria opposizione al riguardo (opt-out). Sono due, sinora, le società che hanno acquistato i dati: Martha Stewart Living Omnimedia e la Maxwell Sroge - una società di marketing diretto. L’accordo permette la vendita degli indirizzari a più soggetti.

"Non vogliamo ostacolare il pagamento dei creditori, ma soltanto cercare di tutelare il diritto alla privacy dei consumatori dando loro la possibilità di chiamarsi fuori", ha detto John Cornym, ministro della giustizia del Texas. Garantire il pagamento dei creditori è l’obiettivo primario dei legali specializzati in materia fallimentare, alcuni dei quali sostengono che le società a rischio di fallimento operanti su Internet hanno senza dubbio il diritto di vendere le informazioni relative alla clientela - soprattutto se la clientela ne è informata e l’acquirente sottoscrive la politica seguita dalla società in materia di privacy. "Se l’acquirente struttura la transazione in modo da aderire alla politica in materia di privacy seguita dalla società che vende, credo che i tribunali dovrebbero permettere a queste transazioni di fare il proprio corso - e sono convinto che così avverrà", ha affermato Howard J. Berman, avvocato specializzato in materia fallimentare presso lo studio Greenberg Traurig di New York.

Un altro legale di uno studio specializzato in casi attinenti al commercio elettronico, Alan N. Sutin, ha ipotizzato che alcune disposizioni del codice fallimentare possano prevalere, in determinate circostanze, sulle regole fissate nella politica in materia di privacy e su altre clausole contrattuali. L’obiettivo dei procedimenti fallimentari, ha affermato, è garantire ai creditori il massimo beneficio possibile, e uno dei beni di maggiore valore che le società operanti su Internet possono mettere in vendita sono proprio le informazioni sulla clientela. Sutin ha sottolineato, inoltre, che nel mondo reale vendite di dati di questo genere sono all’ordine del giorno.

Tuttavia, per alcuni consumatori il fatto che nel mondo reale certe società vendano tranquillamente, senza il loro consenso, informazioni personali che li riguardano non giustifica l’applicazione dello stesso criterio anche al mondo online. Fred Morgan, co-proprietario di un’agenzia di consulenza informatica a Chelmesford, Massachusetts, ha raccontato di avere acquistato regali per i nipotini dalla ToySmart.com, e di avere poi appreso con preoccupazione che i suoi dati personali avrebbero potuto essere venduti nel quadro della procedura di liquidazione della ToySmart stessa. "Penso che queste informazioni non dovrebbero essere cedute - punto e basta," ha detto. Ancora più preoccupante è stata per Morgan la notizia che Amazon.com ha cambiato la politica in materia di privacy sull’onda del contenzioso che ha investito la ToySmart. Amazon ha informato i propri clienti delle nuove regole questa estate, con un messaggio di posta elettronica in cui si dice che la società si riserva il diritto di vendere informazioni relative alla clientela. "Nel quadro dello sviluppo delle nostre attività", si legge, "potremmo vendere o acquistare beni o materiali. In queste transazioni uno dei beni patrimoniali oggetto di trasferimento sono in genere le informazioni relative alla clientela."

Morgan ha detto di avere inviato ad Amazon un messaggio di posta elettronica ed una lettera in cui informava la società di non voler proseguire il rapporto di affari. "Esiste un contratto in materia di privacy, e non possono cambiare le regole a metà del gioco."

Nonostante l’irritazione di una parte dei clienti, e l’ignoranza in cui è lasciata un’altra porzione della clientela, transazioni di questo tipo si fanno sempre più frequenti con l’aumentare del numero di imprese su Internet in difficoltà finanziarie. Verso la metà dello scorso novembre, TheStreet.com (un sito che offre notizie finanziarie) ha venduto a Freequotes.co.uk i nominativi di 159.000 ex-clienti del sito britannico (TheStreet.com ha poi chiuso il sito britannico verso la fine del mese). Nella dichiarazione della politica seguita in materia di privacy si legge che TheStreet.com si riserva il diritto di vendere le informazioni raccolte presso la clientela in caso di vendita o cessione dei beni pertinenti a qualsivoglia dei siti Web da essa gestiti.

Altre società operanti su Internet stanno elaborando forme di transazione che evitino l’acquisto puro e semplice di dati nominativi. Quando Eve.com (una società che vende prodotti di bellezza online) ha sospeso l’attività lo scorso autunno, una ex-concorrente (Sephora.com) ha comprato il nome di dominio Eve.com, l’indirizzo Web e il diritto di inviare due messaggi di posta elettronica agli ex-clienti di Eve.com. I messaggi, inviati lo scorso mese, recavano la firma dei fondatori del sito; nel primo si ringraziavano i destinatari per avere utilizzato i servizi di Eve.com e li si invitava a visitare il sito di Sephora.com, mentre nel secondo si offriva uno sconto di 25$ sull’acquisto di prodotti presso Sephora.com - una sussidiaria della LMHV-Moët Hennessy Louis Vuitton. I messaggi erano gestiti da un soggetto terzo, per cui l’indirizzario della clientela non è mai stato in possesso della Sephora.com. Jim Wiggett, presidente e direttore responsabile della Sephora.com, ha dichiarato che la politica in materia di privacy seguita da Eve.com impediva alla società di vendere la propria base di dati. Tuttavia, anche in assenza di questo vincolo probabilmente non avrebbe avuto interesse a comprare le informazioni. "Credo che i consumatori stabiliscano un rapporto di fiducia con le imprese alle quali comunicano i propri dati", ha detto. Il fatto che un’altra società compri dati personali e poi bombardi i clienti con messaggi di marketing sarebbe "offensivo e controproducente."

Ovviamente, resta da capire se sia anche illegale.