CE - GRUPPO DI LAVORO PER LA TUTELA DEI DATI PERSONALI Parere 1/2000 Presentato dall'Internet Task Force Approvato il 3 febbraio 2000 1. Introduzione L'UE sta attualmente preparando una proposta di direttiva su alcuni aspetti del commercio elettronico 1. Come già in passato, il Gruppo di lavoro per la protezione dei dati personali di cui all'articolo 29 2 intende recare un contributo costruttivo al rafforzamento del quadro giuridico del commercio elettronico. Mediante il presente parere, il Gruppo di lavoro desidera richiamare l'attenzione su un problema di protezione dei dati sollevato dal commercio elettronico, e illustrare in quale modo tale problema viene trattato nella legislazione europea. Il quadro giuridico per la protezione del diritto fondamentale alla riservatezza ed alla protezione dei dati personali è già stato realizzato mediante la direttiva 95/46/CE, che fissa i principi generali per la protezione dei dati, nonché la direttiva 97/66/CE, che integra tali principi per il settore delle telecomunicazioni. Il Gruppo di lavoro esprime la propria soddisfazione per il fatto che il testo attualmente in corso di approvazione contiene un esplicito chiarimento, mediante un nuovo considerando e un nuovo articolo 1(4)(b), sulla corretta e integrale applicazione della legislazione per la protezione dei dati 3 ai servizi internet. Ciò significa che l'applicazione della direttiva sul commercio elettronico deve essere integralmente conforme ai principi della protezione dei dati. Il Gruppo di lavoro ha già prestato notevole attenzione ai problemi di tutela dei dati su internet, in modo particolare con una serie di pareri nel 1999 su tre importanti problemi relativi alle caratteristiche specifiche delle nuove tecnologie dell'informazione. Il gruppo ha così formulato un parere sull'informazione del settore pubblico 4, e due raccomandazioni rispettivamente sull'elaborazione automatica ed invisibile dei dati personali su internet 5 e sulla conservazione dei dati sul traffico da parte dei fornitori di servizi internet a fini giudiziari 6. Nel contesto del commercio elettronico, si pone anche un quarto problema. Il Gruppo di lavoro desidera pertanto formulare un'interpretazione della maniera in cui le norme europee per la protezione dei dati si applicano all'elaborazione di dati a fini di spedizioni elettroniche (mailing) di massa. 2. Il problema dei mailing elettronici Per lanciare una campagna pubblicitaria o effettuare un mailing commerciale, un'impresa deve acquistare un elenco esteso e appropriato di indirizzi di clienti potenziali. Vi sono tre modi in cui una società può acquisire indirizzi E-mail su internet: raccolta diretta di clienti o visitatori di siti web; elenchi preparati da terzi 7; e raccolta su spazi internet pubblici, come guide, newsgroup o chat-room. Un aspetto particolare delle spedizioni postali elettroniche è che mentre per il mittente il costo è estremamente basso rispetto ai metodi di direct marketing tradizionali, vi è un costo per il destinatario in termini di tempo di collegamento. Questo stato di cose costituisce pertanto un chiaro incentivo all'impiego su vasta scala di questo strumento di marketing, ignorando i problemi di protezione dei dati e quelli causati dalla spedizione elettronica. Dal punto di vista dei cittadini, il problema ha tre aspetti: primo, la raccolta dell'indirizzo E-mail senza il consenso o la conoscenza dell'interessato; secondo, l'arrivo di notevoli quantitativi di pubblicità indesiderata; terzo, il costo del tempo di collegamento. A questo proposito, l'aspetto più cospicuo è costituito dal cosiddetto "spam" 8 ("robaccia" o "spazzatura"). Lo spamming è l'invio di posta elettronica non richiesta, solitamente a carattere commerciale, in grossi quantitativi e in diverse riprese, a individui con i quali il mittente non ha alcun precedente contatto. Il fenomeno di solito si verifica successivamente alla raccolta di un indirizzo elettronico in uno spazio pubblico internet. Dal punto di vista del mercato interno, il problema che ne deriva è la possibilità che regolamenti nazionali divergenti in materia di comunicazioni elettroniche commerciali possano costituire barriere al commercio. Ambedue gli aspetti hanno influito sullo sviluppo della legislazione comunitaria. 3. La legislazione comunitaria e la sua applicazione alle spedizioni elettroniche È già stato osservato che, in generale, il commercio elettronico è soggetto alla legislazione sulla protezione dei dati 9 . Le spedizioni elettroniche di massa costituiscono un esempio specifico di come i problemi di protezione dei dati sollevati dal commercio elettronico possono essere risolti con l'applicazione dei principi giuridici delle due direttive. La direttiva a carattere generale stabilisce che i dati personali devono essere raccolti lecitamente a fini espliciti, legittimi e specificati, e che devono essere trattati in maniera equa e legittima conformemente a tali espliciti principi 10. Anche il trattamento dei dati deve essere effettuato su base legittima, come consenso, contratto, obbligo di legge o legittimo interesse 11. Inoltre, l'interessato deve essere informato del previsto trattamento 12, e deve avere la possibilità di opporsi al trattamento dei propri dati personali a fini di marketing diretto 13. La direttiva sulla riservatezza delle telecomunicazioni lascia agli Stati membri la facoltà di decidere se applicare norme che offrono la possibilità di scelta in positivo o in negativo ("opt-in" e "opt-out") in fatto di comunicazioni commerciali non richieste 14. Alle norme sulla protezione dei dati si aggiungono alcuni requisiti legati alla tutela dei consumatori. La direttiva sulle vendite a distanza richiede ad esempio che i consumatori abbiano come minimo il diritto di opporsi all'invio su posta elettronica di comunicazioni a distanza 15. La direttiva sul commercio elettronico, una volta approvata, potrà stabilire espressamente, all'articolo 7, due elementi a carattere tecnico: l'obbligo di identificare come tale la posta elettronica a carattere commerciale, e l'obbligo di consultare e rispettare i registri di esclusione ove stabiliti dalle normative nazionali. Ma il considerando e l'articolo 1(4)(b) chiariscono che la direttiva non intende modificare in alcun modo i principi e i requisiti giuridici stabiliti dall'esistente quadro legislativo illustrato sopra. Dato che la legislazione sulla protezione dei dati si applica integralmente al commercio elettronico, il recepimento della direttiva sul commercio elettronico deve essere integralmente coerente con i principi per la protezione dei dati. Ciò significa, in primo luogo, che per quanto riguarda la protezione dei dati la legge nazionale applicabile ad una società responsabile del trattamento di dati personali continuerà ad essere quella del paese dell'UE in cui la società risiede16. Ciò significa anche che la direttiva sul commercio elettronico non può impedire agli Stati membri di obbligare le imprese ad ottenere in anticipo il consenso degli interessati prima di effettuare comunicazioni commerciali17, né può impedire l'utilizzazione anonima di internet 18. Il Gruppo di lavoro ritiene che queste norme costituiscano una chiara risposta ai problemi di riservatezza sollevati nella sezione 2 supra, e che esse definiscano chiaramente i diritti e i doveri di tutti gli interessati. È necessario distinguere due situazioni :
4. Conclusioni Questo parere non costituisce la posizione finale del Gruppo di lavoro sull'interazione fra il commercio elettronico e la protezione dei dati. L'obiettivo è di richiamare l'attenzione sui problemi sollevati da un tipo particolare di elaborazione dei dati che attualmente costituisce oggetto di dibattito in molte sedi, e di contribuire ad una migliore comprensione del quadro giuridico applicabile al commercio elettronico. Può darsi che vi siano altri aspetti del commercio elettronico, oltre quelli già trattati dal Gruppo di lavoro, che richiedano una guida interpretativa o un approccio comune. Pertanto, il Gruppo di lavoro ritiene necessario sviluppare una politica comune su aspetti che vanno dal cyber-marketing ai pagamenti elettronici ed alle tecnologie per il potenziamento (enhancing) della privacy. Il gruppo ha incaricato l'Internet Task Force di proseguire i lavori in tal senso. Sono previsti diversi risultati, fra cui raccomandazioni su misure a carattere tecnico relative allo spam, o l'omologazione dei siti web in conformità ad un elenco comune di principi europei basati sulle direttive per la protezione dei dati. Bruxelles, 3 febbraio 2000 Per il Gruppo di lavoro 1 Proposta modificata di direttiva del Parlamento europeo e del Consiglio relativa a taluni aspetti giuridici del commercio elettronico nel mercato interno, COM (1999) 427 def. L'accordo politico sul testo è stato raggiunto in sede di Consiglio dei Ministri il 7 dicembre 1999; fra breve sarà formalmente approvata una posizione comune in vista di una seconda lettura da parte del Parlamento europeo. Vedi comunicato stampa IP/99/952 pag. 1 e 4. 2 Istituito in virtù dell'articolo 29 della direttiva 95/46/CE, vedi nota 3 infra. 3 Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, GU L 281/31 del 23 novembre 1995, e direttiva 97/66 del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni, GU L 24/1 del 30 gennaio 1998, disponibili presso http://europa.eu.int/comm/dg15/en/media/dataprot/law/index.htm 4 Parere 3/99 sulle informazioni del settore pubblico e sulla protezione dei dati personali, approvato il 3 maggio 1999: WP 20 (5055/99). Tutti i documenti approvati dal Gruppo di lavoro sono disponibili all'indirizzo seguente: http://europa.eu.int/comm/dg15/en/media/dataprot/wpdocs/index.htm5 Raccomandazione 1/99 sull'elaborazione automatica ed invisibile dei dati personali su Internet mediante Software e Hardware, approvata il 23 febbraio 1999: WP 17 (5093/98) 6 Raccomandazione 3/99 sulla conservazione dei dati di traffico da parte di fornitori di servizi internet a fini giudiziari, approvata il 7 settembre 1999 : WP 25 (5085/99) 7 Gli elenchi preparati da terzi possono essere compilati sulla base di dati raccolti direttamente dalla clientela o sulla base di dati raccolti in siti pubblici. 8 L'argomento è stato trattato nella relazione sulle spedizioni elettroniche e la protezione dei dati personali approvata dal CNIL il 14 ottobre 1999, disponibile su www.cnil.fr. Le sezioni 2 e 3 del presente parere si basano in parte su tale relazione.9 Documento di lavoro: Elaborazione dei dati personali su Internet. Approvato il 3.2.1999: WP 16 (5013/99) 10 Direttiva 95/46/CE, articolo 6 11 Direttiva 95/46/CE, articolo 7 12 Direttiva 95/46/CE, articolo 10 13 Direttiva 95/46/CE, articolo 14 14 Direttiva 97/66, articolo 12. Si può anche sostenere che l'impiego della posta elettronica a fini di marketing diretto debba essere considerato equivalente a quello di sistemi automatizzati di chiamata, che richiedono il consenso degli interessati. 15 Direttiva 97/7/CE del Parlamento europeo e del Consiglio del 20 maggio 1997 riguardante la protezione dei consumatori in materia di contratti a distanza, GU L 144/19 del 4 giugno 1997, articolo 10 (la posta elettronica è espressamente compresa in virtù dell'articolo 2(4) ed allegato 1); disponibile su http://www.europa.eu.int/eur-lex/en/lef/dat/1997/en_397L0007.html16 Direttiva 95/46/CE, articolo 4. 17 Vedi articolo 12 della direttiva 97/66/CE 18 Vedi considerando 6a della proposta modificata, nota 1 supra. 19 Direttiva 95/46/CE, articolo 10 20 Direttiva 95/46/CE, articolo 14.. 21 Ove si stabilisce (oltre a diversi altri casi che possono giustificare il legittimo trattamento dei dati) che il trattamento dei dati personali sia "necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento ... a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata". |