Un anno di privacy
La presentazione della tradizionale relazione dell'Autorità Garante della Privacy
sull'attività dell'anno appena passato è occasione di confronto su tematiche di rilievo per le attività online.
È stata presentata a Roma all'inizio di febbraio la tradizionale relazione dell'
Autorità Garante della Privacy sull'attività
dell'anno precedente. Nella sua interezza, la
relazione 2004
presenta notevoli spunti di riflessione e motivi di confronto per tutte i soggetti coinvolti a vario titolo nella tutela della privacy.
Le nuove tecnologie, l'apertura della Pubblica Amministrazione a una gestione più snella, spesso online, di alcune parti burocratiche,
le pressanti esigenze di sicurezza pubblica incidono in maniera pesante su quello che dovrebbe essere un diritto fondamentale, la
riservatezza dei propri dati personali.
L'attività 2004
Nel corso dell'anno, il lavoro non è mancato agli uffici dell'Autorità Garante. I numeri parlano chiaro: decisioni su 731
ricorsi e risposte a più di 8 mila segnalazioni indicano un'attività importante. In più bisogna aggiungere le numerose
ispezioni, che sono in costante aumento. I fronti più caldi? La videosorveglianza, l'ambito sanitario, le tecnologie dei nuovi
telefonini (per le riprese fotografiche e video), la Rete (in particolare per il problema dello spam).
Una presenza perenne
Con riguardo a Internet, l'allarme del Garante è netto. Si è creata in questi anni una situazione per cui ogni utente che cede
i propri dati personali su Internet, li consegna stabilmente e in modo perenne in Rete. Manca cioè la possibilità di uscita
da questo sistema. Anche se in teoria la normativa lascia ampio spazio all'utente, in realtà ci si trova presi nella Rete. Sempre
più, infatti, il consenso al trattamento dei dati rilasciato a servizi Web, nel corso di questionari o di acquisti online, porta a
un'invasione di pubblicità e messaggi non sollecitati nella propria casella di posta. Il diritto d'uscito invocato dal Garante è
la possibilità, per l'utente, di ritirare il proprio consenso in maniera semplice, immediata ed efficace.
I tranelli
La situazione appena citata può avvenire per leggerezza da parte dell'utente o anche per una convinzione del momento che, in seguito,
può cambiare. Altre volte, invece, soprattutto nei casi di servizi offerti gratuitamente (in particolare per l'accesso a Internet o
a caselle di posta elettronica), vi è l'impossibilità di rifiutare il consenso a fini pubblicitari. Cioè, il consenso
al trattamento dei dati per operazioni di marketing è il presupposto per portare a termine l'iscrizione al servizio stesso.
Il richiamo del Garante
In questi casi, siamo di fronte a una violazione del Codice della privacy. Ogni dubbio è stato fugato con la trattazione del ricorso
12 ottobre 2004. Non è possibile richiedere un consenso ampio e generalizzato associandovi finalità pubblicitarie o commerciali
o di profilazione. Infatti, il principio base è che il consenso sia realmente espresso senza condizionamenti che ne influenzino sotto
vari profili la libera manifestazione (art. 23, comma 3, del Codice). In pratica è necessario che l'operatore proceda alla richiesta
di consensi differenziati in base alla natura e agli obiettivi dei servizi offerti.
Nel futuro un codice deontologico
Come previsto dall'art. 133 del Codice, si sta lavorando alla definizione di un codice deontologico e di buona condotta sui trattamenti dei
dati personali effettuati dai fornitori dei servizi di comunicazione e informazione offerti per via telematica. Sono già stati
avviati consultazioni con rappresentative degli operatori e dei consumatori. I temi su cui si attendono ulteriori chiarimenti, sia pure
sotto forma di deontologia della categoria, sono molti: le modalità e i contenuti dell'informativa; i profili relativi all'acquisizione
del consenso e ai diritti degli interessati; l'adozione di particolari misure di sicurezza; gli strumenti tecnici e giuridici di contrasto
del fenomeno dello spamming, ivi compresa l'adozione di procedure di filtraggio o altre misure praticabili; l'individuazione di bollini di
qualità per il trattamento dei dati posti in essere dagli operatori del settore; i problemi relativi alla registrazione dei nomi a
dominio. In sostanza, tutte le aree problematiche del trattamento dei dati personali. Se non è giusto aspettarsi dal codice
deontologico soluzioni definitive, è altresì lecito che arrivino delle indicazioni preziose, soprattutto in termini di lotta
allo spam e di certezza del trattamento del dato personale.
La sicurezza dei dati e dei sistemi
Qualche chiarimento arriva dal Garante anche a proposito della sicurezza dei dati: l'applicazione delle misure minime previste dal Codice
(artt. 33-35 e allegato B) è un dovere di legge, omesso il quale si è in presenza di un reato. Tuttavia, queste misure
rappresentano solo i requisiti minimi ai quali tutti i titolari del trattamento devono attenersi nella protezione dei dati. Più in
generale, il dovere è quello di adottare misure preventive idonee come indicato dall'art. 31 del Codice. L'adozione delle misure
minime, insomma, non necessariamente corrisponde all'adozione di misure idonee. La mancata predisposizione di queste misure costituisce una
prova della responsabilità civile dei titolari per eventuali danni cagionati a terzi (Nota 22 marzo 2004).
Il documento programmatico sulla sicurezza
Tra gli adempimenti relativi alla sicurezza dei dati e dei sistemi vi è anche la stesura del documento programmatico sulla sicurezza.
Il termine ultimo per la presentazione di questo documento è il 30 giugno 2005. Per agevolare tutte le strutture, in particolare
quelle medie e piccole, il Garante ha predisposto una guida alla stesura e l'ha resa disponibile sul proprio sito Web.
Lo stesso termine del 30 giugno vale per tutte le nuove misure minime previste dal Codice, cioè per quelle che non erano già
state previste dal Decreto del Presidente della Repubblica n. 318/1999. Rimane valida altresì la proroga del termine ultimo al 30
settembre 2005 nel caso in cui obiettive ragioni tecniche non consentano di adottare subito alcune misure.
 |
