101
Capitolo 4. Il behavioral targeting e la privacy degli
utenti
4.1. Introduzione
La raccolta e l’utilizzo dei dati sugli utenti sono alla base del behavioral targeting, infatti sono in grado di predire con un alto grado di precisione le volontà degli utenti della rete, forse come nessun altro tipo di targeting.
D’altra parte l’utilizzo dei dati sugli utenti può diventare un’arma a doppio taglio. Se da una parte garantisce vantaggi agli advertiser, ai publisher ma anche ai navigatori che possono usufruire di messaggi mirati alle loro esigenze, dall’altra crea preoccupazione e una sensazione di “non libertà”.
Per evitare che il behavioral targeting abbia effetti negativi, le società che lo utilizzano devono fare in modo di sensibilizzare la loro utenza, facendo conoscere le tipologie di dati collezionati, le modalità di raccolta, e il loro utilizzo. A tale scopo esistono documenti di autoregolamentazione. Inoltre all’interno dei siti che raccolgono dati sono sempre più spesso presenti pagine contenenti informazioni a riguardo della tutela della privacy e all’utilizzo, la raccolta e la cessione dei dati.
Per chiarire più a fondo la gravità del problema, analizziamo uno studio effettuato dalla società TNS per conto di TRUSTe, l’organizzazione per la tutela della privacy dei consumatori americana, nel febbraio 2008. Lo studio ha coinvolto un campione di 1015 americani scelti in modo da riflettere le caratteristiche della popolazione americana.
Nell’analizzare i dati seguenti è importante ricordare come il mercato americano è molto più sviluppato del nostro e che gli utenti americani sono più aperti, probabilmente perché più informati, nei confronti di soluzioni tecnologiche come queste, rispetto a noi.
102
I risultati presentano una situazione in cui gli utenti non si sentono molto a loro agio quando si tratta di tracciare e far utilizzare i propri dati, questo nonostante ci sia una buona consapevolezza a riguardo.
I principali risultati sono i seguenti:
• Il 40% degli intervistati conosce bene il significato di Behavioral targeting;
• Il 71% è cosciente del fatto che i suoi dati vengono raccolti a scopo pubblicitario durante la navigazione in internet;
• Il 64% decide, se è possibile la scelta, di visualizzare annunci solamente da società che conosce e di cui si fida;
• Il 42% degli intervistate preferirebbe non essere tracciato, nonostante ciò porti ad annunci non rilevanti;
• D’altra parte il 72% degli intervistati trova fastidiosi gli annunci non rilevanti rispetto ai suoi bisogni;
• Solo il 24% è d’accordo col fatto che i pubblicitari utilizzino i dati sulla cronologia esplorazioni per fare il targeting.
Questi dati evidenziano come il behavioral targeting crei ancora perplessità da parte degli utenti americani. È importante ricordare, di nuovo, che molto probabilmente in Italia questi dati sarebbero peggiori sia per quel che riguarda la consapevolezza e conoscenza della materia da parte dei soggetti che per lo scetticismo che tale argomento porta con se.
Nei seguenti paragrafi vedremo come le aziende cercano di avvicinare gli utenti a tali tematiche analizzando i codici di autoregolamentazione come quello del NAI (Network Advertising Initiative) e come la legge cerchi di tutelare i diritti di chi naviga nel web analizzando le normative in materia di privacy in Italia.
103
4.2. Network Advertising Initiative (NAI) Principles
La NAI è una cooperativa di società che operano nel marketing e nell’analytics online, impegnate nella sensibilizzazione dei consumatori e nella responsabilizzazione delle aziende nella gestione dei dati nel rispetto delle norme e degli standard. La NAI risponde alle preoccupazioni degli utenti legate alla privacy su internet grazie ad un sistema di autodisciplina e ad una ragionevole protezione dei consumatori. La NAI è stata creata nel 1999 e comprende moltissime società al suo interno tra cui, ad esempio, Yahoo!, DoubleClick, Advertising.com, SpecificMedia e molte altre.
Il documento contenente i principi che regolano l’utilizzo del behavioral targeting inizia descrivendo la terminologia utilizzata, le principali voci proposte sono le seguenti:
• Third-party online behavioral advertising (OBA). Di questa categoria fanno parte tutti i processi utilizzati per raccogliere dati attraverso domini web di proprietà di soggetti diversi per creare segmenti di utenti in base ai loro interessi da utilizzare nell’online advertising;
• Ad delivery & reporting, sono processi che includono:
Fornire un annuncio specifico basandosi sul tipo di browser o sull’orario in cui avviene la visita;
Report statistici sulle attività di un sito web;
Traccia del numero di annunci mostrati in un particolare giorno o su un determinato sito.
Come succede anche per gli OBA i dati raccolti da questa categoria possono includere: browser utilizzato, sistema operativo, nome del dominio, giorno e ora della visita, pagine visitate e altri dati che non sono utilizzati per identificare, contattare o localizzare un individuo;
• Opt in ad un OBA. Ciò significa che un consumatore deve acconsentire espressamente ad un OBA prima che i suoi dati siano raccolti. Un
104
consenso di questo tipo prevede che siano state fatte dell’azioni positive di assenso che manifestano tale volontà del consumatore;
• Opt out da un OBA. Con questa opzione l’utente ha l’opportunità di disattivare o di togliere il permesso ad un OBA di raccogliere dati.
In parole povere, le logiche delle due tipologie di opzioni sono le seguenti: “I tuoi dati vengono raccolti solo se tu mi dai l’assenso esplicito” per l’opt in e “I tuoi dati vengono raccolti, se non vuoi che ciò sia fatto esercita l’opzione” per l’opt out;
• Personally-identifiable information (PII). Sono tutti i dati utilizzati o in grado di essere utilizzati per identificare, contattare o localizzare una persona e includono nome, indirizzo, numero di telefono e indirizzo e-mail;
• Restricted and sensitive consumer segments. Questi segmenti includono tra gli altri:
Dati sulla condizione medica e sanitaria; Dati sulla vita privata.
Si parla di segmenti restricted (riservati) quando si raccolgono dati non-PII, mentre per i segmenti sensitive (sensibili) la raccolta è basata su dati PII.
Il documento approfondisce questa tematica andando a definire più nel dettaglio queste categorie. In particolare i Restricted e Sensitive consumer segments contengono almeno queste categorie:
Dati sulla condizione medica e sanitaria: _ Soggetto affetto da AIDS o cancro; _ Problemi sessuali;
_ Condizioni psichiatriche; _ Informazioni su aborti;
105 Dati sulla vita personale:
_ Orientamento sessuale;
_ Informazioni su crimini subiti (p.e. vittima di stupro).
Altri dati possono essere riservati o sensibili, ma non sempre lo sono. Questo dipende dall’uso che la società ne vuol fare e da considerazioni legali e socio culturali. Tra questi possiamo trovare:
_ Età, data di compleanno;
_ Dipendenze (p.e. alcol, droghe); _ Nazionalità; _ Disabilità; _ Stato civile; _ Opinione politica; _ Razza; _ Religione;
_ Altri dati sulla persona.
Nella parte successiva del documento la NAI definisce i requisiti per gli OBA utilizzati dai membri della cooperativa.
Innanzi tutto è richiesta trasparenza. A questo scopo si raccomanda che i membri mantengano il sito NAI come portale centralizzato per dare spiegazioni sul behavioral targeting e per mostrare l’adesione delle società ai principi. Inoltre in questa parte si richiede ai membri di cercare di educare i consumatori sul behavioral targeting e sulle scelte che può fare a tale riguardo.
Nel paragrafo “Notice” vengono elencati gli avvisi che devono essere forniti ai consumatori. Devono essere inseriti avvisi chiari ed esaustivi nel sito delle società aderenti al NAI che descrivano come i dati vengono collezionati e ed
106
utilizzati. In sintesi devono essere fornite informazioni su quali tipi di OBA sono stati sottoscritti, quali dati vengono raccolti, se e a chi vengono ceduti i dati, come vengono utilizzati i dati PII e non PII, la durata in cui i dati vengono trattenuti e deve esistere una procedura semplice da utilizzare per esercitare le opzioni opt in e opt out (laddove siano previste).
I membri devono assicurarsi che i publisher che forniscono il servizio OBA diano informazioni chiare ed esaustive oppure che esse siano presenti sul sito dove vengono raccolti i dati. In sintesi devono essere riportati: una dichiarazione che si sta effettuando un OBA, la tipologia di dati raccolti, come e per quale scopo i dati vengono raccolti i dati o trasferiti a terzi, un link chiaro per esercitare le opzioni fornito dal NAI. Se ciò non viene rispettato la società facente parte del NAI deve sforzarsi per far si che il publisher adempia.
Successivamente il documento va a descrivere la tipologia di scelta (opt in o opt out) che deve essere lasciata agli utenti nel caso di OBA. Il livello di scelta dipende dalla tipologia di dati utilizzata, infatti la tipologia di opzione cambia al variare del livello di privacy dei dati. Se i dati raccolti sono solamente non PII deve essere possibile un meccanismo di opt out sul sito del sito membro oppure un link al sito della NAI, se i dati sono non PII ma verranno utilizzati a fianco di dati PII (in ottica prospettica) deve essere presente un meccanismo opt out affiancato da una robusta informativa sull’uso delle info, se i dati sono PII collegati a dati non PII precedenti (in ottica retrospettiva) deve essere presente un meccanismo opt in al momento della raccolta delle informazioni. Infine se si usano dati su restricted consumer segment è necessario il meccanismo opt in. Il documento prevede anche limitazioni nella raccolta e nell’utilizzo dei dati sugli utenti. I dati (sia PII che non PII) non possono essere utilizzati per segmentare bambini sotto l’età di 13 anni. Non sono utilizzabili dati su sensitive consumer segment. Le informazioni raccolte devono essere utilizzate solo a scopi di marketing. Le società membro non possono raccogliere dati PII per terzi che non siano collegati contrattualmente a essa. Se una società cambia la sua politica sulla privacy deve renderlo noto sul suo sito e deve utilizzare la vecchia politica per i
107 dati già raccolti, a meno che il consumatore non accetti la nuova politica con il meccanismo opt in.
I membri della NAI devono richiedere contrattualmente ad ogni società terza a cui fornisce dati PII per scopi OBA di applicare ciò che prevede il documento di autoregolazione della NAI.
È importante che le società che collezionano i dati garantiscano un sicurezza ragionevole di tali informazioni. Inoltre la NAI impone il rispetto delle leggi vigenti nei paesi dove operano le società, sottolineando il fatto che tali leggi prevalgono sul regolamento di autodisciplina e che, comunque, nella parti non previste dalle leggi il regolamento deve essere applicato sempre se non è contrario ad altre norme.
Il sito della NAI oltre a garantire informative aggiornate per le aziende è un utile mezzo per la sensibilizzazione degli utenti di internet, fornendo utili informazioni sull’uso e la raccolta dei dati. Inoltre come è già emerso dalla sintesi del documento di auto disciplina su networkadvertising.org è possibile utilizzare l’opzione di opt out40 per evitare la raccolta dati delle aziende membri.
Figura 30. Un particolare della pagina di OPT OUT su networkadvertising.com .
108
Come possiamo vedere in figura nella pagina di opt out si visualizzano le società aderenti al NAI e, al fianco del loro nome, è possibile vedere se nel computer sono presenti cookie di quel membro e se è stato utilizzato lo strumento opt out, che in caso contrario è facilmente attivabile con pochi click.
109
4.3. La privacy in America: problemi e soluzioni proposte dalla FTC
In questo paragrafo analizzeremo i problemi riguardanti la privacy nel behavioral targeting negli Stati Uniti.
In particolare vedremo come la Federal Trade Commission (FTC) sta cercando di risolvere lacune legislative con la costituzione di norme di autoregolazione.
Prendiamo in analisi il documento redatto dall’FTC in quanto grazie a questo riusciremo a capire quali sono le mancanze del sistema legislativo americano in materia, e perché un’analisi sulle norme risulterebbe troppo vasta e complessa per i nostri scopi.
In questo paragrafo con “behavioral targeting” intenderemo tutte le attività che tracciano le attività di un consumatore online (includendo le ricerche, le pagine visitate e i contenuti visualizzati) con lo scopo di mirare l’advertising verso un determinato utente.
Ciò che maggiormente preoccupa la FTC è che il behavioral targeting, nonostante porti vantaggi agli utenti, è praticamente invisibile ai consumatori. Per questo la FTC ha cercato di capire quali sono le tematiche per cui c’è bisogno di maggiore attenzione per salvaguardare le persone.
In particolare sono emerse le seguenti tematiche:
• Trasparenza e controllo da parte del consumatore;
• Ragionevole sicurezza e limitata memorizzazione dei dati;
• Consenso espresso alle modifiche della privacy policy di un’azienda; • Consenso espresso, o negazione del consenso, all’utilizzo dei dati sensibili
per il behavioral targeting;
110
1. Trasparenza e controllo da parte del consumatore.
I siti internet che utilizzano il behavioral targeting, inseriscono al loro interno le condizioni di uso dei dati raccolti, purtroppo però queste condizioni spesso risultano difficili da capire, inaccessibili e lunghe da leggere. Se tale materiale fosse alleggerito gli utenti potrebbero effettuare scelte più informate riguardo alla personalizzazione dell’advertising, compresa l’accettazione o meno di questo servizio. Inoltre, molti utenti non leggono neppure la privacy policy.
La possibile soluzione per l’FTC è quella di fornire nei siti che collezionano dati per il behavioral targeting un regolamento di privacy policy chiaro, conciso e user-friendly che informi gli utenti che le sue attività sono monitorate e i dati relativi al suo comportamento vengono raccolti per essere utilizzati per fare il targeting degli annunci pubblicitari di beni e servizi, in modo che essi interessino l’utente. Inoltre dovrebbe essere data all’utente la possibilità di scegliere se vuole che i suoi dati siano raccolti o meno per questa prerogativa, tale opzione dovrebbe essere facilmente esercitabile.
2. Ragionevole sicurezza e limitata memorizzazione dei dati
I dati raccolti devono essere tenuti al sicuro da criminali o altri malintenzionati. Devono essere previsti degli standard di sicurezza minimi in modo da minimizzare il rischio di accessi non autorizzati. Alcuni dati però non sono riconducibili all’utente che li ha generati, quindi il rischio è minore.
La proposta per risolvere il problema è quella di giungere ad una ragionevole sicurezza dei dati seguendo le leggi americane in materia e le norme FTC. Il grado di sicurezza dipenderà dalla sensibilità del dato, la natura delle operazioni della società che utilizza i dati, e il ragionevole grado di sicurezza relativo all’azienda.
Naturalmente, più lungo è il periodo in cui i dati vengono immagazzinati da una società maggiore è il rischio, d’altra parte, però, mantenere i dati può servire a migliorare i servizi offerti o a tracciare attività criminali nel sito.
111 Le compagnie dovrebbero tenere i dati solo per un periodo necessario allo scopo del proprio business o per assolvere obblighi derivanti dalle leggi vigenti.
3. Consenso espresso alle modifiche della privacy policy di un’azienda
Le industrie e i consumatori sono d’accordo sul fatto che la privacy policy di un sito non è solamente un importante strumento per informare gli utenti del sito sull’utilizzo dei suoi dati, ma serve anche a promuovere la responsabilità tra aziende. È importante, d’altra parte, sottolineare il fatto che le società hanno bisogno di cambiare la privacy policy da un periodo all’altro.
La FTC sottolinea l’importanza di mantenere fede a ciò che è stato promesso al consumatore riguardo alla raccolta ed al trattamento dei dati, quindi se la privacy policy cambia non deve essere applicata automaticamente a tutti gli utenti, ma deve essere fatto solo dopo una dichiarazione espressa di volontà dell’utente stesso ad accettare le nuove regole sul trattamento.
4. Consenso espresso, o negazione del consenso, all’utilizzo dei dati sensibili per il behavioral targeting
L’utilizzo di dati sensibili (condizioni di salute, orientamento sessuale o le attività di bambini online) per fare targeting pubblicitario è un problema rilevante, soprattutto quando tramite questi dati si riesce a risalire all’individuo che li ha generati. Inoltre i consumatori potrebbero non gradire alcuni annunci nonostante le informazioni non siano identificative della persona, vedendoli come invasivi.
Dall’altra parte però alcuni consumatori vedono gli annunci e contenuti personalizzati come una fonte educativa a riguardo della loro condizione medica o agli interessi personali.
La FTC propone di raccogliere dati sensibili su un utente solo nel caso in cui ci sia il consenso esplicito del consumatore. Inoltre la FTC si impegna a definire quali sono le categorie di dati definiti sensibili e quando non è permesso usare dati sensitivi per il behavioral targeting.
112
5. Utilizzo dei dati per scopi diversi dal behavioral targeting
La FTC concorda con i consumatori e le aziende che i dati raccolti e immagazzinati per il behavioral targeting potrebbero essere utilizzati per scopi dannosi. Così come la raccolta dei dati per il targeting è praticamente invisibile agli utenti di internet, possono esserlo anche gli usi secondari delle informazioni. Alcuni di questi possono essere contrari a ciò che i consumatori si aspettano, ma altri possono garantirgli benefici, come ad esempio lo sviluppo di nuovi prodotti o servizi più appetibili.
Diventano necessarie in questo caso informazioni aggiuntive, in particolare: • Quali usi secondario può essere fatto dei dati;
• Se i dati vengono effettivamente utilizzati per gli usi secondari;
• Se gli usi secondari sfruttano solo dati personali (PII) o se usano anche dati non personali (non PII);
• Se gli usi secondari dei dati necessitano di protezione aggiuntiva.
Con questo studio la FTC si impegna a fare un’attenta valutazione dell’uso dei dati nel behavioral targeting, analizzando costi e benefici per gli utenti e collaborando con tutti gli stackeholders del behavioral targeting, dagli utenti alle aziende. In questo modo si cercheranno di risolvere i problemi legati a questo tipo di targeting.
113
4.4. Privacy nel web: normativa italiana
I riferimenti normativi riguardanti la privacy su internet in Italia sono i seguenti: • Decreto Legislativo 30 giugno 2003, n. 196: "Codice in materia di
protezione dei dati personali";
• Decreto Legislativo 9 aprile 2003, n. 70: "Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico";
• Provvedimento 29 maggio 2003 del GARANTE PER LA PROTEZIONE DEI DATI PERSONALI;
I primi due documenti sono nati dall’esigenza di attuare le normative europee in materia di privacy. Nonostante ciò, esiste una netta differenza tra i due documenti, il primo richiede il consenso preventivo del destinatario del trattamento dei dati, mentre il secondo non prevede questa possibilità. Questa distinzione ha fatto nascere un dibattito in dottrina, di fatto, però, il Garante ha sempre ribadito il previo rispetto della normativa riguardante il trattamento dei dati personali rispetto al d.lgs. 70/2003.
Nelle prossime pagine analizzeremo gli aspetti più rilevanti di queste norme.
4.4.1. Codice in materia di protezione dei dati personali
Il d.lgs. 196/2003 è strutturato in più parti, la prima è generale e va ad indagare gli aspetti della privacy che vanno rispettati da ogni tipologia di attività, mentre nella seconda parte il documento scende nel particolare andando a regolare settori specifici.
Il contenuto dell’articolo 1 di questo codice è il seguente:
“Chiunque ha diritto alla protezione dei dati personali che lo riguardano.”
Il d.lgs. vuol garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con
114
particolare riferimento alla riservatezza, all'identità' personale e al diritto alla protezione dei dati personali. Inoltre viene sottolineato il fatto che i sistemi informativi e i programmi informatici devono ridurre al minimo possibile le informazioni personali e/o identificative raccolte, utilizzando se possibile solo dati anonimi o che permettano di identificare l’interessato solo in caso di necessità.
L’art. 4 va a evidenziare i termini utilizzati nel testo unico dandone la definizione, di seguito si riportano i più significativi.
• "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
• "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
• "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
• "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
• "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
• "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;
• "comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione
115 elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile; • "reti di comunicazione elettronica", i sistemi di trasmissione, le
apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
• "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
• "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
• "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
• "servizio a valore aggiunto", il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto e' necessario per la trasmissione di una comunicazione o della relativa fatturazione;
116
• "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità.
L’art. 7 definisce i diritti del titolare delle informazioni. In particolare l’interessato ha diritto di ottenere conferma dell’esistenza di suoi personali, di averne chiara comunicazione, di conoscerne la fonte, le modalità e le finalità di trattamento, i soggetti ai quali i dati personali possono essere comunicati, l’aggiornamento, l’integrazione o la cancellazioni dei dati personali, l’interessato si può, inoltre, opporre al trattamento dei dati personali che lo riguardano per motivi legittimi legati allo scopo della raccolta, oppure si può opporre al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Gli articoli 11 e 13 definiscono rispettivamente le modalità di trattamento (e requisiti dei dati) e l’informativa da fornire all’interessato.
Articolo 11:
“I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.”
Articolo 13:
“L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
117
a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare […]. Quando il titolare ha designato più responsabili e' indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e' indicato tale responsabile.”
Inoltre l’articolo 16 stabilisce che in caso di cessazione, per qualsiasi causa, di un trattamento i dati devono essere distrutti, ceduti ad altro titolare, purche' destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti, conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione, oppure conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.
Nel caso di dati sensibili la regola generale è quella prevista dal primo comma dell’articolo 26:
“I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.”
118
La sicurezza dei dati è un punto importante nella normativa della privacy, in quanto accessi non autorizzati vanificherebbero il controllo precedentemente effettuato. La custodia dei dati deve essere in grado di “ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.”
Passiamo ora ad analizzare la parte specifica del settore delle comunicazioni elettroniche.
L’articolo 122 stabilisce che è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente, salvo il caso, solo per determinate finalità, di esistenza del previo consenso dell’interessato che deve essere informato analiticamente sulle finalità e sulla durata del trattamento.
L’articolo 23 regola il trattamento e la memorizzazione dei dati relativi al traffico, in particolare:
“I dati relativi al traffico riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica.” Questa
regola ha delle deroghe, ma in questa sede non le approfondiremo. L’articolo 130 va a definire quali sono le comunicazioni indesiderate:
1. “L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale e' consentito con il consenso dell'interessato.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta
119
elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24.
4. Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, puo' non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, e' informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. 5. E' vietato in ogni caso l'invio di comunicazioni per le finalità di cui al
comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità' del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante puo', provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.”
Va data particolare enfasi al primo comma che prevede, salvo le eccezioni presenti nei commi successivi, la necessità dell’esistenza del consenso dell’interessato per utilizzare sistemi automatizzati a fini pubblicitari.
120
Le sanzioni per l’inosservanza di tale norma sono contenute nell’articolo 167, che prevede sanzioni da 6 a 18 mesi di reclusione nel caso di solo trattamento dei dati e da 6 a 24 mesi nel caso di comunicazione o diffusione dei dati.
4.4.2. Decreto Legislativo 9 aprile 2003, n. 70
Questo decreto è diretto a e' diretto a promuovere la libera circolazione dei servizi della società dell'informazione, fra i quali il commercio elettronico.
La norma definisce i servizi della società dell’informazione come le attività svolte in rete (online), inoltre definisce le comunicazioni commerciali come:
“tutte le forme di comunicazione destinate, in modo diretto o indiretto, a promuovere beni, servizi o l'immagine di un'impresa, di un'organizzazione o di un soggetto che esercita un'attività' agricola, commerciale, industriale, artigianale o una libera professione. Non sono di per sé comunicazioni commerciali:
1) le informazioni che consentono un accesso diretto all'attività' dell'impresa, del soggetto o dell'organizzazione, come un nome di dominio, o un indirizzo di posta elettronica;
2) le comunicazioni relative a beni, servizi o all'immagine di tale impresa, soggetto o organizzazione, elaborate in modo indipendente, in particolare senza alcun corrispettivo;”
Di particolare rilievo per la nostra finalità sono gli articoli 8 e 9 di questo articolo, che disciplinano gli obblighi di informazioni per le comunicazioni commerciali e le comunicazioni non sollecite.
Per completezza riportiamo per intero il testo dell’articolo 8:
“In aggiunta agli obblighi informativi previsti per specifici beni e servizi, le
comunicazioni commerciali che costituiscono un servizio della societa' dell'informazione o ne sono parte integrante, devono contenere, sin dal primo invio, in modo chiaro ed inequivocabile, una specifica informativa, diretta ad evidenziare:
121
a) che si tratta di comunicazione commerciale;
b) la persona fisica o giuridica per conto della quale e' effettuata la comunicazione commerciale;
c) che si tratta di un'offerta promozionale come sconti, premi, o omaggi e le relative condizioni di accesso;
d) che si tratta di concorsi o giochi promozionali, se consentiti, e le relative condizioni di partecipazione.”
Nell’articolo 9 invece si regolano le comunicazioni commerciali non sollecitate via e-mail, in particolare si sottolineano due aspetti, cioè deve essere chiaro lo scopo commerciale della mail e deve essere contenuta una chiara indicazione della possibilità che il destinatario ha di non ricevere in futuro tali comunicazioni.
Questo decreto legislativo non prevede nessuna forma di preventiva accettazione dell’utilizzo dei dati per scopi pubblicitari, ma come detto in precedenza prevale il Codice in materia di protezione dei dati personali, quindi è necessaria l’autorizzazione del soggetto a cui fanno capo i dati.
4.4.3. Provvedimento 29 maggio 2003 del Garante per la privacy
Questo provvedimento tra le altre cose, puntualizza alcuni concetti riguardanti pubblicità via e-mail e sul consenso dell’interessato.
Il provvedimento ricorda che l’utilizzo delle e-mail per scopi promozionali e pubblicitari è possibile solo se il soggetto cui riferiscono i dati ha manifestato in precedenza un consenso libero, specifico e informato, anche nel caso di invio automatico con l’utilizzo di software o nel caso in cui non è stata verificata l’identità del messaggio. Viene sottolineato anche che nonostante reperire indirizzi e-mail in internet sia facile questo non autorizza ad utilizzarli liberamente senza consenso libero e specifico, lo stesso vale per gli indirizzi di posta elettronica contenuti nell’anagrafica degli ISP.
122
“Per gli aspetti relativi alla protezione dei dati personali non devono essere peraltro considerate le disposizioni del recente decreto legislativo 9 aprile 2003, n. 70, sul commercio elettronico, dichiarate in proposito espressamente inapplicabili (art. 1, comma 2, lett. b) d.lgs. n. 70 cit.).
Il consenso, da documentare per iscritto, deve essere manifestato liberamente, in modo esplicito e in forma differenziata rispetto alle diverse finalità e alle categorie di servizi e prodotti offerti, prima dell'inoltro dei messaggi”, ciò va a
