Conferenza internazionale protezione dei dati Wroclaw-Risoluzione relativa agli aggiornamenti automatici di software

26A CONFERENZA INTERNAZIONALE SULLA PROTEZIONE DEI DATI WROCLAW (POLONIA) 13-16 SETTEMBRE 2004

Versione emendata della Risoluzione della Conferenza internazionale del 2003 relativa agli aggiornamenti automatici di software

L'ufficio dell'Autorità australiana federale per la privacy, l'Autorità per l'informazione e la privacy dello stato di Ontario, l'Autorità per i dati personali di Hong Kong, e l'Autorità per la protezione dei dati e l'accesso alle informazioni dello stato di Brandeburgo propongono che la Conferenza Internazionale adotti la seguente risoluzione:

1. La Conferenza rileva con preoccupazione che le case produttrici di software in tutto il mondo fanno sempre più ricorso a meccanismi non trasparenti per trasferire aggiornamenti di software nel computer degli utenti.

Così facendo, esse

- sono in grado di leggere e raccogliere dati personali memorizzati nel computer dei singoli utenti (ad esempio, le impostazioni dei programmi di navigazione, e informazioni sulle abitudini di navigazione del singolo utente) senza che questi abbiano la possibilità di accorgersene, intervenire o impedirlo,

- possono assumere il controllo, almeno parziale, del computer terminale e, quindi, limitare la capacità dell'utente di far fronte agli obblighi ed alle responsabilità previsti dalla legge nei suoi riguardi, in quanto titolare del trattamento, al fine di garantire la sicurezza dei dati personali eventualmente oggetto di trattamento,

- modificano il software installato sul computer, che sarà quindi utilizzato senza essere collaudato o approvato nei modi previsti, e

- possono provocare malfunzionamenti del computer senza che sia possibile individuarne la causa nell'aggiornamento.

Tutto ciò può comportare particolari problemi per la pubblica amministrazione e le aziende private, nella misura in cui sussistano specifici obblighi di legge a loro carico relativamente alle modalità di trattamento dei dati personali.

2. La Conferenza, pertanto, invita le società produttrici di software

a. ad offrire procedure per l'aggiornamento online del software soltanto in associazione ad un'informativa, e ad effettuare l'aggiornamento una volta ottenuto il consenso dell'utente, senza travalicare o abusare di tale consenso, secondo modalità trasparenti e senza consentire accessi non controllati al computer dell'utente;

b. a chiedere la comunicazione di dati personali soltanto con il consenso informato dell'utente e nella misura in cui ciò risulti necessario per effettuare l'aggiornamento online. Gli utenti non dovrebbero essere obbligati a fornire le proprie credenziali di identificazione —anziché di autenticazione— per dare inizio alla procedura di caricamento remoto;

c. a prevedere servizi di aggiornamento che consentano di effettuare verifiche preventive su server separati prima di procedere all'installazione.

3. La Conferenza promuove la definizione e l'applicazione di tecnologie per l'aggiornamento del software che siano rispettose della privacy e dell'autonomia degli utenti.