I - Stato di attuazione della legge n. 675/1996 - Trattamento di dati personali in Internet - Relazione 2002

Trattamento di dati personali in Internet

54. Profili generali

Gli sviluppi relativi alla protezione dei dati personali in materia di reti telematiche sono strettamente connessi alla continua evoluzione del settore, come testimoniano le diverse e sempre crescenti segnalazioni, richieste di chiarimenti e quesiti che provengono giornalmente a questa Autorità.

Nel corso del 2002, il Garante ha proseguito nell´opera di costante monitoraggio dell´evoluzione tecnica del settore, stabilendo, in particolare, forme opportune di consultazione con i diversi operatori, in modo da poter promuovere l´adozione di garanzie adeguate sia sul piano della prassi operativa, sia su quello normativo, anche provvedendo a sollecitare l´adozione delle misure necessarie alle autorità pubbliche competenti.

D´altronde, le numerose problematiche esaminate hanno confermato come un´altra caratteristica peculiare della maggior parte dei trattamenti realizzati in tale ambito sia quella di poter prescindere, in larga misura, dai confini nazionali e, quindi, dalla legislazione sulla protezione dei dati applicabile all´interno di essi.

Proprio in ragione di tali peculiarità, sono destinati a svolgere un ruolo determinante, sul piano della disciplina dei trattamenti e delle garanzie per gli interessati, i codici deontologici previsti dal d.lg. n. 467/2001, nonché l´emanando testo unico più volte richiamato.

Sono stati avviati i lavori preliminari per la redazione del codice deontologico relativo ai trattamenti di dati personali "effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica".

In questo quadro, è utile ricordare che la direttiva 2002/58/CE (da recepirsi entro il 31 ottobre p.v.), relativa al "trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche", nel modificare la direttiva 97/66/CE, si pone l´obiettivo di adeguare la disciplina sulla tutela dei dati personali agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica. Ciò, adottando un approccio "tecnologicamente neutro", mirante, cioè, a predisporre una normativa valida ed applicabile a tutte le forme di comunicazione elettronica realizzate per via telefonica, su Internet o su altri mezzi.

Nelle more dell´adozione del testo unico e del codice sopra richiamati, nonché della trasposizione in Italia della direttiva citata, l´Autorità ha comunque già fornito alcuni chiarimenti in ordine a diverse problematiche sottese alla materia.

Oltre a offrire alcune prime precisazioni in merito al possibile esercizio, sulla rete Internet, dei diritti di cui all´art. 13 della legge 675/1996, il Garante ha concluso l´esame e sta per adottare un provvedimento di carattere generale che fornisce alcuni suggerimenti ed indicazioni agli operatori del settore ed agli utilizzatori della rete in materia di invio di posta elettronica indesiderata (c.d. "spamming").

55. Comunicazioni indesiderate

Spamming su Internet

Il Garante si è più volte occupato della problematica relativa all´invio di messaggi di posta elettronica non sollecitati di natura prevalentemente pubblicitaria.

Come già evidenziato in passato (v. Relazione 2001, p. 88), la direttiva 2002/58/CE ha recepito, quale sistema di regolamentazione del problema, il principio secondo cui l´invio di messaggi di posta elettronica di carattere pubblicitario è subordinato all´espresso consenso dell´interessato ("opt-in").

Il Garante ha espresso un positivo avviso in ordine alla predetta opzione (v. Newsletter, 12 - 18 febbraio 2001). D´altronde, come chiarito dal Garante nel corso del 2002, la legge 675/1996 (art. 11), il d.lg. 171/1998 (art. 10) ed il d.lg. 185/1999 (art. 10, comma 1) già riconducono la fattispecie in esame alla regola del consenso preventivo ed esplicito.

In tal senso, il Garante si è espresso anche in occasione delle decisioni adottate in merito ai ricorsi presentati da alcuni utenti, ai sensi dell´art. 29 della legge 675/1996 (Provv. 25 giugno, 25 luglio e 30 settembre 2002). Accertata la fondatezza delle pretese dei ricorrenti, l´Autorità ha provveduto a bloccare le banche dati delle relative società che avevano inviato numerose e-mail pubblicitarie e promozionali senza aver acquisito, in via preventiva, il consenso informato degli interessati.

Il blocco dei trattamenti connessi alle predette banche dati si è reso necessario anche per impedire che il trattamento illecito e non corretto dei dati personali potesse estendersi ad un elevato numero di cittadini i cui indirizzi di posta elettronica erano presenti negli archivi delle società medesime.

Svariati altri provvedimenti di blocco sono stati adottati in altre successive circostanze.

In questo quadro, il Garante è altresì in procinto di adottare un provvedimento di carattere generale volto ad offrire altre indicazioni in materia.

L´Autorità ha, già più volte ricordato che nei casi di specie non può essere invocato l´art. 12, comma 1, lett. c), della legge 675/1996, il quale esonera il titolare dal richiedere il consenso dell´interessato ove i dati relativi a quest´ultimo siano provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Infatti, questa disposizione si riferisce esclusivamente agli elenchi o ai registri per i quali è previsto uno specifico regime giuridico di piena conoscibilità da parte di chiunque, e non è, quindi, applicabile ai casi in cui un determinato dato possa essere consultato dal pubblico per mere circostanze di fatto (ad esempio: raccolta su siti web o presso newsgroup ove erano disponibili per diverse finalità).

Quanto, poi, al consenso all´invio di messaggi pubblicitari e al connesso obbligo di informativa nei confronti dei destinatari, il Garante ha sottolineato che il consenso, oltre a dover essere manifestato liberamente e documentato per iscritto, secondo le previsioni del già citato art. 11 della legge, deve essere preventivo, esplicito ed espresso in forma differenziata rispetto alle varie categorie di prodotti offerti.

La circostanza, poi, che l´indirizzo di posta elettronica sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti, non lo rende liberamente utilizzabile e non autorizza, comunque, l´invio di informazioni di qualunque genere, anche se non specificamente a carattere commerciale o promozionale senza un preventivo consenso.

Ed ancora, con riguardo al diritto degli interessati di richiedere la cessazione dell´invio di messaggi pubblicitari indesiderati, il Garante ha più volte sottolineato che, indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei messaggi pubblicitari, deve essere data sempre a questi ultimi la possibilità di far valere il proprio diritto di opporsi, in tutto o in parte, al trattamento dei dati medesimi ai fini di informazione commerciale. La richiesta per l´esercizio di tale diritto può essere avanzata senza formalità, ad esempio tramite posta elettronica o anche verbalmente (art. 17, comma 1, d.P.R. n. 501/1998). In ogni caso, tali diritti devono poter essere esercitati gratuitamente ed in maniera agevole.

Nel caso di esercizio dei diritti di cui al richiamato art. 13, i titolari o i responsabili dagli stessi designati, sono tenuti a fornire all´interessato una risposta completa ed esaustiva, con riferimento a tutti gli elementi richiesti.

Nomi a dominio

Durante il periodo di riferimento sono inoltre pervenute a questa Autorità diverse segnalazioni in ordine alla protezione dei nomi a dominio, con specifico riguardo ai dati relativi ai soggetti che registrano siti web ("registrant") nonché alla pubblicazione di alcuni dati personali sulla rete.

Al riguardo, il Garante ha svolto alcune indagini conoscitive in merito alle modalità ed alle regole di registrazione dei nomi a dominio in Italia, al fine di predisporre un provvedimento generale.

56. Il codice deontologico
Come accennato nel paragrafo relativo ai profili generali, nonché nella Relazione 2001(p. 89), è prossima l´adozione del codice sui trattamenti dei dati personali "effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica".

Ed infatti, sulla base di quanto stabilito dal d.lg. 467/2001, il Garante ha promosso, nell´ambito di una generale attività collaborativa con i diversi operatori del settore, la sottoscrizione del predetto codice di deontologia e buona condotta, con il dichiarato scopo di fornire "i criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento", nell´ottica di "una più ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all´articolo 9 della legge 31 dicembre 1996, n. 675".

A tal riguardo, è utile sottolineare che, al pari di quanto previsto per i codici sui trattamenti realizzati a fini storici o statistici, tale codice assumerà il ruolo di fonte dell´ordinamento, come, d´altronde, dispone l´art. 20 del d.lg. 467 cit., il quale testualmente recita: "il rispetto delle disposizioni in essi contenute costituisce condizione essenziale per la liceità del trattamento dei dati".

57. Pubblicazione di fotografie sui siti web
Sono pervenute, nel 2002, segnalazioni concernenti la liceità della pubblicazione -anche su siti web- di fotografie e immagini che ritraggono persone.

Sul punto merita ricordare un provvedimento del Garante nel quale, tra i vari aspetti esaminati, sono stati forniti chiarimenti in ordine agli adempimenti gravanti sui fotonegozianti e sulle società (che di regola operano sulla base di specifici accordi negoziali con i primi) i quali offrano al cliente, oltre al tradizionale servizio di sviluppo e stampa dei rullini, anche la visione delle proprie fotografie su un apposito sito web (Provv. 16 maggio 2002, in Bollettino n. 28).

In tale occasione il Garante, oltre a ribadire il principio in base al quale le fotografie possono contenere immagini e informazioni qualificabili alla stregua di dati personali (art. 1, comma 2, lett. c), l. n. 675/1996, ha richiamato l´obbligo, per i titolari di siffatto trattamento, di fornire al cliente un´idonea informativa, anche oralmente (art. 10, comma 1, l. n. 675/1996), sin dal momento della richiesta della prestazione e, quindi, della consegna del rullino. Ciò al fine di porre l´interessato in condizione di scegliere in modo consapevole la particolare modalità del servizio di sviluppo desiderato e di conoscere in anticipo le modalità del peculiare trattamento. Tale esigenza non può ritenersi sufficientemente soddisfatta -ha precisato il Garante- tramite la mera esibizione o consegna di materiale promozionale ai clienti. Né l´informativa sui dati personali può considerarsi implicita nel mero pagamento di un prezzo diverso rispetto a servizi tradizionali.

Il Garante ha altresì richiamato l´attenzione sulla necessità che in tali casi siano adottate le specifiche misure di sicurezza volte a prevenire taluni rischi, tra i quali quelli di distruzione o perdita dei dati personali trattati o di accesso non autorizzato (art. 15 l. n. 675/1996 e d.P.R. 28 luglio 1999, n. 318); obblighi che, con riferimento al peculiare trattamento in questione, assumono rilievo in relazione alle diverse fasi del processo di realizzazione del servizio, nonché ai diversi soggetti in esso coinvolti (i negozianti e gli altri addetti allo sviluppo delle fotografie; il gestore del server nel quale viene conservato il file contenente le fotografie; la società titolare del sito su cui queste ultime vengono pubblicate).

58. Fotografie e immagini su cataloghi pubblicitari, giornali, riviste o altri strumenti di diffusione
I principi sopra ricordati sono stati riaffermati dall´Autorità in risposta ai numerosi quesiti concernenti, più in generale, la possibilità di pubblicare fotografie o immagini costituenti dati personali su cataloghi, giornali, riviste o altri analoghi strumenti di diffusione, ivi compresa la rete Internet.

In varie occasioni, pertanto, l´Autorità ha ricordato che le suddette immagini possono essere trattate solo con il consenso espresso, specifico e documentato per iscritto (art.11, l. n. 675/1996). Ciò, fatta salva l´eventuale sussistenza degli altri presupposti equipollenti del consenso indicati agli artt. 12 e 20 della legge citata.

Tra i casi in cui è consentito ad un soggetto privato trattare fotografie e immagini prescindendo dal consenso dell´interessato -ma non dalla previa informativa, ai sensi dell´art.10 della legge n. 675/1996- rileva, in particolare, l´ipotesi in cui la raccolta e la diffusione dei predetti dati siano necessarie per l´esecuzione degli obblighi derivanti da un contratto del quale è parte la persona ritratta (ad esempio, come nel caso evidenziato nel paragrafo precedente nel contesto di un servizio fotografico richiesto dall´interessato), ovvero per l´esecuzione di misure precontrattuali adottate su richiesta della stessa (artt. 12 lett. b), e 20 lett. a-bis), l. n. 675/1996).

Analogamente, è possibile prescindere dal consenso nel caso in cui il trattamento sia effettuato nell´esercizio del diritto di cronaca e, in generale, della libertà di manifestare il proprio pensiero (artt. 12, lett. e) 20, lett. d) e 25). In tale caso trovano applicazione le disposizioni contenute nel codice di deontologia relativo al trattamento dei dati personali nell´esercizio dell´attività giornalistica.

Il Garante ha inoltre precisato che la legge n. 675/1996 non ha inciso sulle garanzie contenute nella legge sul diritto d´autore (artt. da 87 a 97 l. 22 aprile 1941, n. 633) le quali prevedono, fra l´altro, che l´esposizione, la riproduzione e la messa in commercio del ritratto di una persona presuppongono il consenso della persona ritrattata, a meno che la riproduzione dell´immagine sia giustificata "dalla notorietà o dall´ufficio pubblico coperto, da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico" e che vietano, comunque, l´esposizione o la messa in commercio qualora rechi "pregiudizio all´onore, alla reputazione od anche al decoro della persona ritrattata" (v. art.10 c.c.).

L´Autorità ha infine ricordato che -fermo restando quanto previsto per i trattamenti effettuati nell´esercizio del diritto di cronaca e di libera manifestazione del pensiero (art. 25, l. n. 675/1996 citata)- le specifiche disposizioni concernenti i dati c.d. "sensibili" (in particolare gli artt. 22 e 24 e le autorizzazioni generali per il 2002) trovano applicazione anche con riferimento alle immagini idonee a rivelare tale tipo di informazione.