g-docweb-display Portlet

Newsletter 10 - 16 giugno 2002

Stampa Stampa Stampa

Newsletter 10 - 16 giugno 2002

 

  • La direttiva UE si applica anche ai software spia
  • Cogne: si rispetti la vita privata della mamma di Samuele
  • Modalità e garanzie per l’elenco dei telefoni cellulari

 

La direttiva UE si applica anche ai software spia

La direttiva europea sulla privacy si applica non solo alle informazioni raccolte attraverso cookies, ma anche attraverso i cosiddetti spywares, cioè quei software in grado di raccogliere informazioni su chi naviga in Internet a sua insaputa. Tali informazioni possono essere raccolte in occasione del dowloading di complessi software, anche musicali.

Il Gruppo che riunisce le autorità europee di protezione dati ha approvato lo scorso 30 maggio un documento di lavoro nel quale fa il punto sull’applicazione della direttiva europea sulla protezione dei dati (n. 95/46/CE) ai trattamenti effettuati da siti Web che siano situati in un Paese non appartenente all’UE (il documento è disponibile, in lingua inglese, al seguente indirizzo: .http://www.europa.eu.int....

Dopo avere sottolineato che la direttiva si applica a questi trattamenti purché il titolare del sito Web faccia ricorso ad uno strumento situato in un Paese membro, i Garanti hanno indicato alcuni esempi specifici dell’applicazione di questo principio (cookies, Javascript, spyware) e hanno ribadito l’intenzione di approfondire ed ampliare la riflessione su questi temi anche per la loro complessità tecnica.

Il documento nasce dall’esigenza di esaminare l’applicazione del principio - fissato nell’art. 4, primo comma, lettera c) della direttiva - secondo cui "Ciascuno Stato membro applica le disposizioni nazionali adottate per l´attuazione della presente direttiva al trattamento di dati personali (…) il cui responsabile [titolare, secondo la definizione italiana, ndr], non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea."

La necessità di stabilire se il diritto interno di uno Stato si applichi a situazioni in cui sono coinvolti più Paesi stranieri nasce dall’esigenza di garantire la tutela dei cittadini di uno Stato (o dell’Unione) nei loro rapporti con soggetti non appartenenti a quello Stato (o all’Unione). Per quanto riguarda la tutela dei dati personali, il Parlamento ed il Consiglio europei hanno raggiunto questo obiettivo facendo riferimento (come previsto appunto dall’art. 4 della direttiva) al legame fisico fra attività e ordinamento giuridico - in pratica, il legislatore UE ha scelto la localizzazione geografica degli strumenti utilizzati per il trattamento. Dunque, il principio fondamentale è che la direttiva dell’UE sulla protezione dei dati personali si applica ai trattamenti di dati personali effettuati per scopi specifici da titolari extra-UE che utilizzino strumenti situati nel territorio di uno Stato membro.

Questo principio prescinde dalla cittadinanza della persona i cui dati sono oggetto di trattamento: quello che conta è il luogo geografico in cui sono situati gli strumenti che il titolare utilizza per trattare i dati personali dell’individuo considerato.

I Garanti hanno poi fornito alcuni esempi concreti dell’applicazione di questi principi: in particolare, sull’impiego dei cookies da parte di un sito Web e di applicazioni tipo JavaScript o altre similari.

I cookies sono file di testo che vengono memorizzati nel disco rigido del PC di un utente quando questi visita un sito Web che decida di farne uso. Il cookie permette al sito Web di identificare il PC dell’utente, attraverso le informazioni in esso memorizzate, ogniqualvolta si ha un nuovo contatto fra il PC e quel sito Web. Le informazioni possono essere di vario genere: le pagine visitate, gli annunci pubblicitari consultati, il numero identificativo dell’utente (GUI, Global Unique Identifier), ecc. In questo caso, il titolare del sito Web, situato in un Paese terzo, decide di utilizzare il PC dell’utente (lo strumento) situato nel territorio di un paese UE attraverso i cookies, che realizzano un trattamento di dati personali che sfugge al controllo dell’interessato nell’UE. Il titolare dunque dispone degli strumenti informatici dell’utente; pertanto, a questi trattamenti si applica la legge nazionale dello Stato Membro in cui è situato il PC dell’utente. Come già sottolineato in un documento elaborato dalla Internet Task Force nel 1999 (http://www.europa.eu.int....), ciò significa che l’utente deve essere informato dal titolare del sito Web sul fatto che verranno utilizzati cookies, sulle informazioni che verranno memorizzate nei cookies e sulle finalità di tale memorizzazione; l’utente deve poter scegliere se accettare o rifiutare i cookies nel loro complesso, e stabilire quali informazioni debbano essere inserite nel cookie in rapporto, ad esempio, al periodo di validità del cookie stesso (esistono infatti anche i cosiddetti "cookie di sessione", la cui durata ha termine con l’uscita dell’utente dalla connessione in rete).

Per quanto riguarda JavaScript, si tratta di una serie di istruzioni che vengono inviate da un sito Web al computer dell’utente per consentire l’esecuzione di determinate operazioni su tale computer. Se il titolare decide di fare uso di queste applicazioni per raccogliere dati personali memorizzati nel computer dell’utente, si può affermare che egli ricorra a strumenti automatizzati secondo la definizione della direttiva, e dovrà dunque adeguarsi alla normativa nazionale in materia.

Lo stesso vale per i banner, ossia gli annunci pubblicitari che compaiono sulla pagina Web dopo che ci si è collegati ad un sito. In questo caso il meccanismo di funzionamento è tale per cui il PC dell’utente, una volta collegatosi al sito di interesse, viene "costretto" a connettersi anche ad un altro server - quello della società pubblicitaria dalla quale viene inviato il banner. Inoltre, per personalizzare l’invio dei messaggi pubblicitari, alcune società pubblicitarie profilano gli utenti attraverso cookies che sono inviati al PC dell’utente utilizzando il legame ipertestuale invisibile fra il sito Web visitato e la società pubblicitaria. In tutti questi casi è indubbio che il titolare situato in un Paese terzo utilizzi il PC dell’utente senza che questi possa controllarne le modalità, e che pertanto si ricada nell’ambito di applicazione della legge nazionale (ai sensi della direttiva).

Lo stesso concetto vale per il cosiddetto "spyware", ossia i programmi installati in modo occulto sul PC dell’utente - ad esempio, al momento in cui questi scarica un programma di maggiori dimensioni, anche di tipo musicale - per raccogliere dati personali come, per esempio, i file musicali ascoltati più di frequente. Sono applicazioni definite "applicazioni ET" perché "una volta entrate nel PC dell’utente e apprese le informazioni necessarie, fanno quello che faceva l’extraterrestre di Spielberg: telefonano a casa."

I Garanti - consapevoli dell’esistenza di numerose altre situazioni legate ad Internet nelle quali l’interpretazione della norma comunitaria si presta a considerevoli difficoltà - si sono dunque riproposti di continuare a riflettere su questi temi per individuare casi specifici nei quali un intervento chiarificatore sia particolarmente necessario.

Queste, in sintesi, le raccomandazioni che i Garanti rivolgono ai titolari extra-UE per i quali valgono i principi della direttiva rispetto al trattamento di dati personali via Internet:

  • indicare chiaramente le finalità del trattamento ed informare gli interessati almeno sull’identità del titolare (ed eventualmente del suo rappresentante), sui possibili destinatari delle informazioni e sui diritti riconosciuti agli interessati.
  • accertarsi che i dati personali siano adeguati, pertinenti e non eccedenti rispetto alle finalità della loro raccolta
  • accertarsi della legittimità della raccolta (consenso dell’interessato, fondamento contrattuale, rispetto di un requisito di legge, ecc.) e garantire all’interessato il diritto di accesso e rettifica/cancellazione dei propri dati personali
  • garantire l’esistenza di adeguate misure di sicurezza
  • prevedere particolari cautele per la raccolta di dati sensibili

I Garanti europei hanno sottolineato, infine, che l’attuazione pratica di questi principi necessita di soluzioni tecnologiche che garantiscano a monte il rispetto dei requisiti concernenti la tutela dei dati personali (essendo tali requisiti già incorporati in un software apposito); un’altra possibilità potrebbe consistere nella messa a punto di procedure per autorizzare singoli prodotti, ossia nella creazione di un sistema europeo di "bollini di qualità" per i siti Web, aperto anche ai siti Web extra-UE.

 

Cogne: si rispetti la vita privata della mamma di Samuele
(comunicato del 12 giugno 2002)

"Una inutile spettacolarizzazione di una vicenda personale già drammatica e una grave offesa alla dignità della persona".

Lo ha affermato l’Autorità Garante che, in riferimento a notizie riguardanti voci su un presunto stato di gravidanza della signora Anna Maria Franzoni, è tornata a stigmatizzare, ancora una volta, l’invasione morbosa nella sua vita privata e a chiedere il rispetto della dignità della persona.

L’Autorità ha sottolineato l’assenza di interesse pubblico nel conoscere tali notizie, legate agli aspetti più intimi della vita privata e ha richiamato nuovamente al rispetto del principio di essenzialità dell’informazione stabilito nel codice di deontologia dei giornalisti.

Codice che fissa per gli organi di informazione, anche in casi di grande rilevanza pubblica, particolari vincoli nel riportare notizie riguardanti i protagonisti coinvolti, i quali devono vedere comunque rispettata la loro dignità e la loro sfera privata.

 

Modalità e garanzie per l’elenco dei telefoni cellulari


(Comunicato stampa congiunto dell’Autorità per le garanzie nelle comunicazioni e del Garante per la protezione dei dati personali del 13 giugno 2002)

In vista della prevista realizzazione di un elenco telefonico generale contenente anche i dati degli abbonati al servizio di telefonia mobile, l’Autorità per le garanzie nelle comunicazioni e il Garante per la protezione dei dati personali, in stretta collaborazione e nell’ambito delle rispettive competenze, hanno individuato le modalità e le garanzie per figurare in tale elenco.

La formazione dell’elenco, che riguarda milioni di cittadini italiani, è prevista dal D.P.R. 11 gennaio 2001, n.77 che dà attuazione a due direttive comunitarie da applicarsi nel rispetto della normativa in materia di protezione dei dati personali e della vita privata nel settore delle TLC. L’Italia è il primo paese nell’Unione Europea a dare attuazione per questa parte alle due direttive.

Nel corso della consultazione tra le due Autorità, avviata lo scorso anno, l’Autorità per le garanzie nelle comunicazioni ha adottato due provvedimenti, uno del 6 febbraio scorso e, l’altro, in data odierna, con i quali ha stabilito procedure e modalità per la formazione e la tenuta degli elenchi.

Poiché alcuni aspetti riguardano la protezione dei dati personali e della vita privata, il Garante per la privacy ha nel frattempo adottato, lo scorso 23 maggio, un proprio provvedimento con il quale ha segnalato agli operatori di telecomunicazioni le necessarie garanzie da osservare. Si tratta di un vero e proprio "decalogo" nel quale vengono indicate le modalità per assicurare il rispetto della vita privata degli abbonati nella raccolta dei dati personali e nella tenuta degli elenchi. Il provvedimento è stato inviato, oltre che ad associazioni di consumatori, all’Autorità per le garanzie nelle comunicazioni che lo ha fatto proprio nella decisione odierna su proposta del Commissario relatore Alfredo Meocci.

D’intesa tra le due Autorità, è stato stabilito, in particolare, che gli abbonati:

  • debbono essere preventivamente informati sull’utilizzo e le finalità degli elenchi;
  • hanno il diritto di scegliere se essere inseriti o meno nell’elenco;
  • hanno la facoltà di decidere quali dati devono essere presenti nell’elenco (es., l’indirizzo);
  • hanno il diritto ad esprimere il proprio consenso all’eventuale utilizzazione del numero telefonico per scopi diversi (pubblicità, direct marketing, ricerche di mercato etc.) mediante l’apposizione di un simbolo;
  • hanno alcuni diritti rispetto alla ricerca dei nomi partendo dalla disponibilità del solo numero dell’abbonato.

Per quanto riguarda gli utenti di telefonia mobile titolari di carte prepagate, la delibera prevede l’inserimento delle stesse carte nel nuovo elenco dei sottoscrittori. Nel caso in cui l’utenza è usata da un soggetto diverso sarà quest’ultimo a dichiararlo sotto la sua responsabilità, chiedendo che siano i suoi dati a comparire nell’elenco generale.

Il provvedimento disciplina, infine, la fase transitoria della prima formazione dell’elenco telefonico generale.


Roma, 13 giugno 2002
 

Scheda

Doc-Web
43270
Data
10/06/02

Tipologie

Newsletter