Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

WP 43 - Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea - 17 maggio 2001 [1609845]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1609845
Data:
17/05/01
Argomenti:
Internazionale , Dati telefonici e telematici
Tipologia:
Gruppo di lavoro ex Articolo 29

[doc. web n. 1609845]

Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea
17 maggio 2001 - WP 43

La Raccomandazione nasce dall'esigenza di fornire indicazioni concrete sia agli operatori del settore responsabili del trattamento di dati personali nell'ambito di siti web (i "titolari", secondo la definizione della Direttiva) sia ai singoli cittadini; essa è rivolta anche agli enti che intendono creare  un "bollino di qualità" che certifichi la rispondenza delle procedure di trattamento utilizzate alle direttive dell'UE in materia.

Le raccomandazioni riguardano, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari devono fornire agli utenti quando questi si collegano a pagine Web, indipendentemente dagli scopi del collegamento. I Garanti sottolineano che i requisiti indicati sono un nucleo "minimo" e che potranno essere integrati, in futuro, da ulteriori raccomandazioni di natura più specifica (ad esempio, per quanto riguarda il trattamento di dati "sensibili" o relativi a minori, oppure i trattamenti per scopi di natura sanitaria).

La Raccomandazione si applica a tutti i trattamenti effettuati da titolari che siano stabiliti in uno degli Stati dell'UE, oppure che non siano stabiliti nell'UE ma utilizzino, ai fini del trattamento, apparecchiature o dispositivi situati sul territorio di uno Stato membro dell'UE – secondo quanto prevede la direttiva 95/46/CE in materia di protezione dei dati personali.

I Garanti raccomandano pertanto

1) di fornire preventivamente a chiunque si colleghi ad un sito Web che preveda la raccolta di dati personali le informazioni indicate nella direttiva: identità e indirizzo (elettronico o meno) del titolare, finalità del trattamento, obbligatorietà delle informazioni richieste all'utente (vi possono essere dati necessari per fornire un servizio richiesto da un utente, mentre altri sono opzionali), modalità per esercitare i diritti di accesso, rettifica, cancellazione, opposizione al trattamento, destinatari eventuali delle informazioni raccolte (e in tal caso l'utente deve avere la possibilità di opporsi alla trasmissione dei suoi dati ad altri soggetti, per scopi diversi da quelli per cui gli vengono richiesti dal sito - ad esempio cliccando su una casella specifica), eventuale utilizzo di procedure automatiche per la raccolta dei dati (è il caso, ad esempio, dei cookies), misure di sicurezza adottate per garantire l'integrità e la riservatezza dei dati richiesti;

2) di fornire le informazioni sopra elencate direttamente sul monitor del singolo utente, prima che avvenga la raccolta dei suoi dati, così da garantire che il trattamento avvenga in modo leale come prescrive la direttiva; per farlo si può ricorrere alle varie possibilità messe a disposizione dalla tecnologia attuale: finestre "a scomparsa", caselle da cliccare, messaggi "pop-up". É opportuno inoltre che sulla pagina di accoglienza del sito vi sia un'indicazione chiara e comprensibile dell'esistenza di un'informativa sulla privacy (ad esempio "Questo sito raccoglie e tratta dati personali che la riguardano. Per ulteriori informazioni, clicchi qui");

3) di tenere presente che i titolari hanno anche altri obblighi sanciti sempre dalla direttiva, oltre al dovere di informare adeguatamente gli interessati. In particolare, è necessario che la raccolta di dati personali sia necessaria per le finalità specificate: pertanto, se l'obiettivo che il titolare si prefigge (fornire un servizio, un'informazione, ecc.) può essere raggiunto senza elaborare dati personali, questi non devono essere raccolti. Nella stessa ottica, si sottolinea l'opportunità di favorire ed accettare l'impiego di pseudonimi quando questi ultimi permettano comunque di svolgere determinate transazioni. Inoltre, non devono essere raccolti più dati di quelli necessari per lo scopo dichiarato (è il principio cosiddetto di "pertinenza"), e i dati raccolti devono essere conservati solo per un periodo giustificato dalle finalità del trattamento;

4) di non utilizzare indirizzi di posta elettronica ricavati da "aree pubbliche" di Internet (ad esempio, gruppi di discussione) per attività di marketing, visto che i diretti interessati non ne sono stati informati; se invece gli interessati sono stati informati della possibilità che i dati forniti in una sede determinata vengano utilizzati per scopi di marketing diretto, e hanno avuto la possibilità di dare il proprio consenso a questa forma di utilizzazione (magari cliccando online su una casella apposita), in tal caso l'uso di indirizzi di e-mail per fini di marketing è da ritenersi senz'altro lecito. I titolari devono inoltre garantire che l'utente abbia la possibilità di ritirare il consenso all'uso dei suoi dati per fini commerciali.

 

Documento Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea - 17 maggio 2001  (40 Kb)