Le autorità garanti per la protezione dei dati personali
dei 15 stati dellUnione Europea hanno
messo a punto le prime regole espressamente dedicate ad Internet per
quel che riguarda la privacy. I garanti, alla cui testa si trova litaliano
Stefano Rodotà, hanno adottato una Raccomandazione, indirizzata al Consiglio dEuropa, alla Commissione, al Parlamento europeo ed
agli Stati membri, che fissa alcuni requisiti minimi per la raccolta di dati
personali online.
Due le novità principali della Raccomandazione dei
garanti. La prima consiste nel fatto che essa «è rivolta anche agli enti che
intendono creare un bollino di qualità che certifichi la rispondenza
delle procedure di trattamento utilizzate alle direttive dellUE in materia». È
prevedibile quindi che, se qualche ente risponderà positivamente allinvito,
presto su ogni sito che rispetta le norme in materia di privacy potrebbe essere
presente un bollino identificativo.
La seconda novità risiede nella distinzione tra «un primo
gruppo di notizie che ciascun sito deve fornire a tutti i visitatori, in
modo snello e visibile, e un nucleo più articolato di informazioni che
il sito può fornire in altre pagine web». La Raccomandazione è considerata
applicabile a tutti quei siti i cui titolari risiedano in uno degli stati dellUnione,
o i cui server siano comunque situati nel territorio della UE.
Ma vediamo più da vicino quali sono le regole immaginate
dai garanti per assegnare il bollino:
- Ogni sito che preveda la raccolta dei dati personali deve fornire
preventivamente ai propri utenti le informazioni indicate nella direttiva 95/46/CE,
ovvero: identità e indirizzo (elettronico o meno) del titolare,
finalità del trattamento, obbligatorietà delle informazioni richieste, modalità
per esercitare i diritti di accesso, rettifica, cancellazione, opposizione al
trattamento, destinatari eventuali delle informazioni raccolte (e in tal caso
l’utente deve avere la possibilità di opporsi), eventuale utilizzo di procedure
automatiche per la raccolta dei dati (ad esempio cookies), misure di sicurezza
adottate per garantire l’integrità e la riservatezza dei dati richiesti; - Le informazioni appena indicate devono essere fornite sul
monitor prima che avvenga la raccolta dei dati; a tale proposito, i
garanti prevedono varie possibilità: finestre “a scomparsa”, caselle
da cliccare, messaggi “pop-up”. Inoltre, sulla home page deve essere indicata
la presenza, all’interno del sito, di un’informativa sulla privacy; - La raccolta ed il trattamento dei dati devono avvenire solo
quando necessari. A questo proposito, si consiglia di favorire ed accettare
l’impiego di pseudonimi da parte degli utenti, quando sia possibile operare
anche soltanto tramite essi. Inoltre, i dati raccolti devono essere soltanto
quelli strettamente necessari per lo scopo dichiarato; - Per le attività di marketing del sito, non vanno
utilizzati gli indirizzi di posta elettronica che possono essere trovati
in “aree pubbliche” di Internet, quali ad esempio i newsgroup. Il consenso a
questo tipo di uso deve essere stato dato espressamente dai titolari degli
indirizzi e deve comunque poter essere ritirato in qualsiasi momento.
I garanti europei hanno precisato che quelle contenute
nella Raccomandazione sono da considerarsi un nucleo minimo di norme, che
in futuro potrà essere (e probabilmente sarà) integrato da «raccomandazioni
di natura più specifica (ad esempio, per quanto riguarda il trattamento di dati
"sensibili" o relativi a minori, oppure i trattamenti per scopi di
natura sanitaria)»