La Privacy e i servizi telematici

Domanda: Salve, vorrei sapere due cose riguardo ai servizi telematici:

1) Può un provider di servizi Internet fornire i dati di un suo cliente a chiunque ne faccia richiesta?

Risposta: Solo se ha preventivamente e chiaramente informato l'interessato dell'ambito di comunicazione e diffusione dei dati e ne ha acquisito il consenso a tali operazioni.

D: 2) Può un provider essere ritenuto responsabile della violazione da parte di crackers e criminali informatici della password e del user-id di un suo utente, una volta che con i dati violati si commettano atti illegali?

R: Si, se non ha adottato le idonee misure di sicurezza. E' responsabile, peraltro, anche se non si commettono illeciti penali, ma l'interessato subisce un danno dall'uso non autorizzato della sua ID (ad esempio gli viene cancellata la mailbox). Si vedano, a tal proposito, gli artt. 31 sgg. del Codice della privacy (D.lgs n. 196/2003).

Il cracker è comunque responsabile ai sensi della legge anticrimini informatici.


Domanda: Vorremmo avere chiarimenti sull'applicazione del Codice della privacy agli Internet Providers. In particolare, abbiamo l'elenco dei ns. clienti in un database. Questi dati vengono utilizzati per il conteggio del traffico utenti, per le scadenze, e per gli avvisi all'utente.

Immagino che rientriamo fra coloro che debbano fare notifica al garante.

Risposta: la Sua domanda richiede alcune precisazioni.

Innanzitutto, evidenziamo che la notificazione al Garante è divenuta, con l'emanazione del Codice della privacy, un adempimento residuale, richiesto in casi molto particolari elencati dall'art. 37 del Codice stesso.

In particolare, il comma 1 lett. d) di detto articolo prescrive l'obbligo di effettuare la notificazione se il trattamento riguarda "dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero, a monitorare l'utilizzo di servizi di comunicazione elettronica, con esclusione di trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti".

Pertanto, in virtù di quanto sopra, se la raccolta è effettuata al fine esclusivo di fornire i servizi richiesti agli utenti, e non vi è eccedenza nella raccolta dei dati rispetto alle suddette finalità, non c'è obbligo di notificare il trattamento.


Domanda: Nelle pagine Web dei nostri clienti ci sono elenchi di distributori, rivenditori, ecc.; cosa si fa in questo caso?

Risposta: Il contenuto informativo delle pagine è responsabilità dei singoli realizzatori e gestori di pagine web, che dovranno verificare, di volta in volta, se rientrano ed in che misura nell'ambito di applicazione della legge.

Nel caso in cui la cura e la realizzazione tecnica (e non contenutistica) delle pagine fosse a vostro carico, Voi potreste essere considerati, se esiste un preciso incarico scritto in tal senso, responsabili del trattamento, se curate anche aspetti organizzativi complessi (ad esempio, aspetti connessi alla sicurezza delle informazioni); altrimenti, siete esclusivamente incaricati del trattamento, con il compito di "mettere in rete" contenuti informativi sulla base delle precise indicazioni a Voi fornite, sempre per iscritto, dal titolare del trattamento.


Domanda: Come si applica il Codice della privacy ad una società che si occupa di fornire servizi alle aziende ed ai privati su Internet?

Risposta: Il Codice della privacy ha introdotto un'apposita sezione riguardante "Internet e reti telematiche", rinviando, però, ad un adottando codice deontologico il compito di definire alcune particolari modalità dell'applicazione della normativa, quale, ad esempio, la possibilità di fornire informative più semplici e chiare.

D: Il nostro sito, ospita quindi, sia spazi commerciali di aziende, sia pagine personali di privati. Quali adempimenti dobbiamo svolgere ai fini della normativa sulla privacy?

In pratica gli unici dati che pubblichiamo sono gli indirizzi e-mail dei singoli utenti che, comunque, sono loro stessi ad inserire le pagine relative al loro sito. Naturalmente le aziende pubblicano anche il loro indirizzo e numeri di telefono e fax, come avviene in ogni pagina web commerciale che si rispetti.

R: E' necessario mettere in calce alla "form" di raccolta una informativa ai sensi dell'art. 13 del D.lgs. n.196/2003, in cui dare agli utenti idonee indicazioni circa il trattamento dei loro dati da parte vostra.

D: Come posso dichiarare che tali dati non saranno diramati fuori della CEE se Internet è mondiale? come posso impedire ad un americano di leggere le pagine dei nostri clienti!!!

R: Ovviamente, non è possibile !!!

Sarà necessario specificare tale ambito di diffusione nell'informativa.

D: Ho bisogno di particolari autorizzazioni anche per mettere in rete gli spazi dei miei clienti? In pratica noi abbiamo affittato spazio su server americani e lo riaffittiamo qui a pezzetti. C'è qualcosa di illegale in questo? Abbiamo bisogno di qualche autorizzazione?

R: Diremmo di no, salvo quanto detto sopra.


Domanda: Vorrei sapere se la gestione di una mailing list comporta anche il trattamento dei dati personali, vale a dire, nel caso di specie, dell'indirizzo di posta elettronica dell'iscritto, dal momento che sono iscritto ad alcune liste, ma non ho mai ricevuto alcun messaggio da parte del list owner del possibile trattamento che il mio nome o indirizzo di posta elettronica potrebbe subire.

Risposta: Il gestore della mailing-list avrebbe già dovuto fornirLe l'informativa prevista dall'art. 13 del Codice della privacy. Inoltre, avrebbe dovuto raccogliere il consenso al trattamento dei dati e alla loro diffusione via Internet. Le segnaliamo che è in arrivo un'apposita disciplina della privacy on-line; nel frattempo, comunque, operano i principi e le norme generali del Codice.


Domanda: Stiamo organizzando una "banca dati tecnologica" da mettere su Internet, contenente indicazioni sulle diverse tecnologie nel settore ambientale, le aziende che le forniscono e i loro prodotti. Nella fase di raccolta dati invieremo ad ogni azienda una scheda da compilare, in cui vengono richiesti sia dati anagrafici dell'azienda (nome, indirizzo, telefono, fax, e-mail...), sia soprattutto dati relativi ai loro prodotti.

Le mie domande sono le seguenti: è necessario inviare anche il modulo per il consenso al trattamento di tali dati, anche se sono dati di tipo commerciale? Per non dovere mandare la richiesta di consenso, quali dati non bisogna chiedere?

Risposta: Nel caso in questione, il consenso sia al trattamento che alla diffusione dei dati non è necessario, in quanto il trattamento riguarderà dati relativi allo svolgimento di attività economiche (art. 24, lett. d, D.lgs. 196/2003). Occorre, però, prestare molta attenzione a che i dati rientrino tutti, effettivamente, in questa categoria.

Alle aziende, comunque, dovrà essere data l'informativa prevista dall'art. 13.


Domanda: Nei moduli di adesione ai provider compare un avviso di questo tenore "Il cliente prende atto e accetta l'esistenza del registro elettronico del funzionamento, compilato e custodito a cura del "provider". Il contenuto del Log ha il carattere della riservatezza assoluta e potrà essere esibito solo ed esclusivamente su richiesta delle Autorità competenti. Al fine di identificare con certezza la provenienza della connessione, il cliente prende atto del fatto che il "provider" identifica l'utente nel momento del collegamento alla rete mediante il numero identificativo del chiamante".

Ma non mi è chiaro: che tipo di informazioni raccoglie questo registro; è una scelta del provider o un obbligo di legge?; i dati ivi contenuti devono essere conservati presso la sede, inviati a terzi, o all'autorità?; si ha diritto di visionarli, modificarli, o cancellarli?; hanno scadenza?

Risposta: I file di log registrano la navigazione in Internet dell'utente, consentendo di risalire ai siti visitati, ai file scaricati, al tempo di connessione, all'orario di connessione e ad altro ancora. Essi integrano a tutti gli effetti un trattamento di dati personali che deve sottostare agli obblighi posti dal Codice della privacy.

Occorre in primo luogo che il provider fornisca l'informativa prevista dall'art. 13 della citata legge agli utenti e consegua da questi il consenso al trattamento dei dati raccolti nel file di log e alla loro eventuale comunicazione; consenso che, peraltro, dovrà essere scritto per i dati sensibili. L'interessato, inoltre, vanta, nei confronti di questo trattamento, i diritti previsti dall'art. 7 del D.lgs. n. 196/2003. Può quindi, in ogni momento, chiedere che gli vengano comunicati i dati raccolti che lo riguardano e può chiederne, tra l'altro, la cancellazione o la rettifica sempre a norma dell'art. 7 e nei casi previsti da detto articolo, fatte salve le norme emanate per la sicurezza nazionale.

L'art. 123, comma 2 del Codice della privacy prevedeva che i dati relativi al traffico strettamente necessari a fini di fatturazione per l'abbonato, o di pagamenti in caso di interconnessione, potevano essere conservati per un periodo non superiore a sei mesi, a fini di documentazione in caso di contestazione della fattura o per la pretesa di pagamento; restava salva la possibilità di conservare ulteriormente i dati per l'effetto di una contestazione anche in sede giudiziale.

Inoltre, ai sensi dell'art. 132 del Codice, i dati relativi al traffico erano conservati per trenta mesi per finalità di accertamento e repressione di reati, secondo modalità stabilite con regolamento ministeriale, sentito il parere del Garante.

una contestazione anche in sede giudiziale.

Epperò, in data 29 dicembre 2003, il Decreto Legge 24 dicembre 2003, n. 354 (Pubblicato sulla G.U. n. 300 del 29/12/2003), all'articolo 3, ha modificato detto disposto legislativo, disponendo che i dati possono essere conservati per ulteriori trenta mesi (e dunque per complessivi cinque anni) per la repressione di delitti a danno di sistemi informatici e telematicinonché dei delitti particolarmente gravi di cui all'art. 407, comma 2 lett. a) del codice di procedura penale, tra cui sono compresi i reati commessi per finalità di terrorismo.


Domanda: Buongiorno. Vorrei sapere cosa è possibile fare, in concreto, per evitare che società senza scrupoli inviino e-mail pubblicitarie indesiderate in forma massiccia.

Risposta: Lo spamming è senza dubbio uno dei fenomeni più odiosi che si sono sviluppati di pari passo con la costante crescita ed utilizzo delle reti telematiche; lo spamming è, peraltro, vietato dalle norme di Netiquette, cioè dalle regole di buona educazione stabilite dagli utenti di Internet e disponibili per la consultazione sul sito della Naming Authority italiana (www.nic.it).

La Naming Authority, per assicurare l'applicazione di tale disposizione, ha istituito una sorta di lista nera dello spamming, ossia uno spazio presso il proprio sito (http://www.nic.it/RA/servizi/listserv/abuse.html) ove sono presenti tutte le segnalazioni di violazioni delle norme di Netiquette provenienti da privati cittadini.

Le violazioni delle norme di Netiquette devono essere segnalate alla Naming Authority Italiana e alla Registration Authority Italiana, tramite posta elettronica, inviando un e-mail a ABUSE@NA.nic.it. La Naming Authority prende contatto con i responsabili, nonché con i loro providers, per segnalare la questione e permettere il contraddittorio.

L'utilizzo della posta elettronica per l'invio di materiale pubblicitario o di vendita diretta, in mancanza del consenso espresso del destinatario è, inoltre, vietato dall'art.130 del D.lgs. n.196/2003.

E', altresì, vietato l'invio di comunicazioni effettuate a scopi promozionali, camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale esercitare i diritti di cui all'art. 7. La sanzione è quella prevista dall'art. 167 per il trattamento illecito dei dati.


Domanda: Ci sono tantissimi providers italiani e mondiali che utilizzano liste nere anti-spamming. In queste liste nere sono inseriti gli indirizzi degli spammer segnalati dagli utenti. In questo modo tutti coloro che hanno un account sul provider che utilizza queste liste non riceverà mai e-mail dagli indirizzi inseriti in questa lista. Per tutto il tempo in cui sono inseriti nella lista le e-mail spedite verso le caselle di posta dei providers che usano queste liste torneranno indietro. Mi chiedo: è lecito l'utilizzo di queste liste nere da parte dei providers, soprattutto quelli molto grossi? I loro clienti sanno che non riceveranno posta legittima?

Risposta: E' evidente che la prassi di utilizzare le black lists o i filtri antispam, può dar luogo a distorsioni del sistema, quale quella di alcuni providers che si sono dotati di alcuni software che respingono determinati messaggi di posta elettronica "classificati" come indesiderati.

Di solito, questo meccanismo viene attivato su segnalazione di un utente e dopo aver verificato che l'attività di spamming è stata inserita nella black-list della Naming Authority. In questo modo, tutti i messaggi provenienti dal presunto reo vengono cancellati e non recapitati. Spesso, però, accade che l'attivazione di tale filtro avvenga all'insaputa degli utenti del provider, i quali possono così perdere messaggi di posta elettronica (desiderati) senza rendersene conto; a ciò si aggiunga che al mittente non viene inviata alcuna comunicazione di mancata trasmissione.

Può quindi accadere che, a causa della segnalazione di un utente, una certa impresa venga inserita nella black-list della Naming Authority e che il provider attivi il filtro antispam nei suoi confronti. Tale sistema, dunque, può dar luogo ad effetti non desiderati, in questo caso addirittura - a nostro parere - al di fuori dell'alveo della legittimità, che potrebbero giungere addirittura a ledere il principio dell'inviolabilità della corrispondenza (anche telematica), costituzionalmente sancito.