PARERE n. 1/98-Piattaforma per le preferenze in materia di protezione della vita privata (P3P - Platform for Privacy Preferences) e la norma aperta per i profili (OPS

CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

PARERE n. 1/98

Piattaforma per le preferenze in materia di protezione della vita privata (P3P - Platform for Privacy Preferences) e la norma aperta per i profili (OPS - Open Profiling Standard) - wp11

Adottato dal gruppo il 16 giugno 1998

Il progetto della piattaforma per le preferenze in materia di protezione della vita privata (P3P - Platform for Privacy Preferences) considera la tutela della vita privata e dei dati personali come un elemento che deve essere stabilito di comune accordo fra l'utente Internet di cui si raccolgono i dati ed il sito Web che li registra. Il principio di base prevede che l'utente acconsenta alla raccolta dei suoi dati personali da parte di un sito (l’Open Profiling Standard è volto a fornire la trasmissione sicura di un profilo standard di dati personali), solo se le pratiche dichiarate del sito in termini di protezione della vita privata (per esempio le finalità della raccolta dei dati, l'eventuale uso a fini secondari o la cessione a terzi) soddisfano le esigenze dell'utente. Il World Wide Web Consortium ha cercato di elaborare un unico vocabolario che permettesse di esprimere le preferenze dell'utente e le pratiche del sito. Non è prevista la possibilità di adattare questo vocabolario alle esigenze e al quadro normativo di regioni geografiche specifiche. Sorprende il fatto che, malgrado la prevista applicabilità universale della P3P, il suddetto vocabolario non sia stato messo a punto facendo riferimento alle norme conosciute di livello più elevato nella protezione dei dati personali e della vita privata, ma si limiti a formalizzare norme comuni di livello inferiore. Queste decisioni di strategia fanno sì che l'applicazione della P3P e dell'OPS in seno all'Unione europea abbia buone probabilità di sollevare una serie di problemi specifici, discussi più avanti. Affinché la P3P e l'OPS abbiano ricadute positive sulla protezione della vita privata "in linea", è di fondamentale importanza che siano affrontati questi argomenti.

Una piattaforma tecnica per la protezione della vita privata non sarà di per sé sufficiente a garantire tale protezione sul Web. Occorre che una piattaforma del genere sia applicata in un quadro di regole esecutive sulla tutela dei dati, in grado di fornire a tutti un livello minimo e non negoziabile di protezione della vita privata. L'utilizzazione della P3P e dell'OPS senza questo quadro di riferimento rischia di scaricare principalmente sul singolo utente l'onere della protezione; si tratterebbe di un'evoluzione contraria alla norma ormai consolidata a livello internazionale secondo cui il "responsabile del trattamento" deve rispettare i principi della tutela dei dati (orientamenti OCSE del 1980, convenzione n. 108 del 1981 del Consiglio d'Europa, orientamenti ONU del 1990, direttive UE 95/46/CE e 97/66/CE). Tale inversione di responsabilità presuppone peraltro un livello di conoscenza dei rischi per la vita privata posti dal trattamento dei dati che la maggioranza dei cittadini probabilmente non possiede.
Esiste il rischio che la P3P, una volta applicata alla prossima generazione di software per il browsing, possa far erroneamente ritenere a taluni "incaricati del trattamento" con sede nell'UE di poter essere esentati da determinati obblighi giuridici (per esempio, la concessione ai singoli utenti del diritto di accesso ai loro dati), qualora il singolo utente vi acconsenta nell'ambito della negoziazione "in linea". In realtà, le imprese, le organizzazioni e i singoli cittadini stabiliti nell'UE e fornitori di servizi su Internet dovranno comunque osservare le norme fissate nella direttiva 95/46/CE sulla tutela dei dati (come recepita nella legislazione nazionale) per quanto riguarda la raccolta ed il trattamento dei dati personali. La P3P potrebbe pertanto essere fonte di confusione non solo tra gli incaricati del trattamento riguardo ai loro obblighi, ma anche tra gli utenti di Internet riguardo alla natura dei loro diritti in termini di protezione dei dati. Il software per il browsing venduto o distribuito nell'UE deve pertanto essere progettato e configurato in modo tale da assicurare l'impossibilità di concludere accordi "in linea" che violino la normativa prevalente in materia di tutela dei dati.
Per l'utente che ha sede nell'UE ed entra in contatto con siti Web stabiliti in paesi non comunitari la preoccupazione principale deriva dal fatto che le organizzazioni a cui fornisce i suoi dati personali potrebbero non essere soggette alla direttiva UE o a qualunque altra normativa che disciplini in modo efficace la protezione dei dati ¹. Per decidere se fornire o meno i dati a questi siti, sarà di fondamentale importanza sapere non solo quale sia il contenuto approssimativo di tutte le regole applicabili, ma anche se esistono sanzioni in caso di inosservanza, in particolare se è previsto uno strumento semplice ed efficace di ricorso nei casi di violazione. Una piattaforma "in linea" per le preferenze in materia di protezione della vita privata dovrebbe in teoria essere in grado di fornire tali informazioni agli utenti. Tuttavia, la configurazione attuale del vocabolario della P3P non richiede né prevede che agli utenti siano fornite informazioni circa le sanzioni o i ricorsi. Risulta pertanto necessario rivedere il vocabolario standard, affinché la P3P possa rivelarsi uno strumento utile per ottenere "in linea" dagli utenti UE un consenso informato al trasferimento di dati personali (secondo quanto disposto dall'articolo 26, paragrafo 1, lettera a), della direttiva).
Essendo improbabile che la maggior parte degli utenti Internet cambi anche uno solo dei parametri predeterminati sul proprio browser, la configurazione predefinita (default) relativa alle preferenze dell'utente in materia di protezione della vita privata avrà un'influenza decisiva sul livello complessivo della protezione della vita privata "in linea". La P3P e l'OPS devono essere applicate nella tecnologia dei browser con posizioni di default che rispecchino l'interesse dell'utente a beneficiare di un livello elevato di protezione della vita privata (compresa la possibilità di esplorare dei siti Web mantenendo l'anonimato) senza trovarsi bloccato o infastidito nei suoi tentativi di accedere ad un sito. Se l'incaricato del trattamento pone come condizione di accesso al proprio sito la fornitura di un profilo di dati identificabili, l'utente dovrebbe essere interrogato ogni volta se intende acconsentire alla fornitura di tali informazioni al sito in questione. Se il sito non richiede questi dati in via preliminare, l'accesso dovrebbe procedere senza interruzioni. I principali produttori di software per il browsing hanno la responsabilità di applicare la P3P e l'OPS in modo da rinforzare piuttosto che ridurre i livelli di protezione della vita privata.

Data l'importanza del processo di applicazione della P3P e dell'OPS, e alla luce dei diversi temi attualmente allo studio del gruppo relativamente alla funzionalità dei protocolli Web (HTTP), il gruppo è favorevole all'elaborazione di software Internet conformemente alla normativa sulla tutela dei dati applicabile nell'Unione europea e ritiene opportuna la messa a punto di meccanismi in grado di verificare la conformità del software Internet a tale riguardo. Fatto a Bruxelles, il 16 giugno 1998

Per il Gruppo
Il Presidente
P.J. HUSTINX

1 Resta impregiudicata la possibilità di un esame dettagliato dell'articolo 4 della direttiva 95/46/CE, che potrebbe essere interpretato in maniera tale da rendere la direttiva applicabile a siti di paesi terzi che raccolgano dati da utenti con sede nell'UE.