2. Lezione
La tutela dei dati personali
Fattispecie
Un ex dipendente di una banca aveva
intrapreso la professione di promotore
finanziario e, prima di abbandonare la sede
dell’istituto di credito, si era appropriato
degli elenchi dei nominativi dei clienti
della banca, costituendosi in questo modo
un archivio utile per intraprendere la nuova
attività
Evoluzione della tutela
Tutela della riservatezza
(diritto ad essere lasciato solo)
Tutela dei dati personali
(diritto al controllo sul flusso dei dati)
Tutela dell’identità personale
(diritto ad essere rappresentati come si è)
La legge 675/96
• titolare
la persona fisica, la persona giuridica, la pubblica
amministrazione
e
qualsiasi
altro
ente,
associazione od organismo cui competono le
decisioni in ordine alle finalità ed alle modalità del
trattamento di dati personali, ivi compreso il
profilo della sicurezza.
• interessato
la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali.
La novità introdotta dalla legge 675/96
• Prima
• Dopo
titolare
titolare
dati
dati
interessato
Ambito di applicazione
•
•
•
•
•
•
si applica al trattamento di dati personali da chiunque effettuato nel
territorio dello Stato, anche quando esso sia effettuato da chi sia stabilito
all’estero utilizzando mezzi situati nel territorio, a meno che ciò non
avvenga solo ai fini di transito
si applica al trattamento di dati di persone fisiche e persone giuridiche
(salvo per quest’ultime alcune eccezioni negli adempimenti previsti dalla
legge)
si applica anche ai trattamenti effettuati senza l’ausilio di mezzi elettronici;
non si applica (salve le disposizioni sulla sicurezza tecnica) al trattamento
effettuato da persone fisiche per fini esclusivamente personali;
si applica al settore pubblico e al settore privato;
non si applica ai trattamenti nel settore della sicurezza pubblica, difesa dello
Stato, amministrazione della giustizia.
La qualità dei dati
Articolo 9
• I dati personali oggetto di trattamento devono essere:
• a) trattati in modo lecito e secondo correttezza;
• b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini non
incompatibili con tali scopi;
• c) esatti e, se necessario, aggiornati;
• d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali
sono raccolti o successivamente trattati;
• e) conservati in una forma che consenta l’identificazione
dell’interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
Regime privato
Regime pubblico
(quando il titolare è un soggetto
pubblico)
(quando il titolare è persona
fisica, giuridica, ente o
associazione)
•
•
•
•
•
informativa all’interessato
consenso al trattamento dei dati (salvo i
casi di esclusione previsti dalla legge)
autorizzazione del garante e consenso
scritto per il trattamento di dati sensibili
notifica al Garante (salvo i casi di
esclusione)
adempimenti connessi all’esercizio dei
diritti dell’interessato
•
•
•
•
informativa all’interessato
previsione normativa o regolamentare
notifica al Garante (salvo i casi di
esclusione)
adempimenti connessi all’esercizio dei
diritti dell’interessato
La sicurezza dei dati
Articolo 15 (estratto)
I dati personali oggetto di trattamento devono essere custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle specifiche caratteristiche
del trattamento, in modo da ridurre al minimo, mediante l’adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalità della
raccolta.
Sentenza
Configura il reato di trattamento illecito di
dati, l’organizzazione di dati in un archivio
informatico ed il successivo uso per inviare
lettere promozionali a clienti, senza il loro
consenso.
(Pretura di Palermo 18 aprile 1999)
La raccolta diretta e indiretta dei
dati
• I data log
• I cookies
• Lo spamming
Direttiva 02/58/CE
Articolo 5
• E’ vietato l’ascolto, la captazione, la memorizzazione e altre forme di
intercettazione o di sorveglianza delle comunicazioni e dei relativi dati
sul traffico ad opera di persone diverse dagli utenti, senza consenso di
questi ultimi, eccetto quando sia autorizzato legalmente. E’ consentita
la memorizzazione tecnica necessaria alla trasmissione della
comunicazione fatto salvo il principio della riservatezza.
• E’ consentita la registrazione di comunicazioni e di dati sul traffico se
effettuato nel quadro di legittime prassi commerciali allo scopo di
fornire la prova di una transazione o di una qualsiasi altra
comunicazione commerciale
Fattispecie
(cookies)
• La Double Click, società americana di advertising on line, era stata
citata in giudizio da diversi ricorrenti, con l’accusa di violazione del
diritto alla privacy e ingiusto arricchimento personale. Richiamandosi
all’Electronic Communications Privacy Act (Ecpa), la legge
americana che proibisce l'intercettazione, l’accusa aveva contestato
alla Double Click l’utilizzo dei cosiddetti cookies, attraverso i quali
dal 1996 la società pubblicitaria aveva raccolto, secondo i ricorrenti,
informazioni personali degli utenti.
Sentenza
(cookies)
District Court New York 28.3.01
Utilizzare i cookies - i programmi che raccolgono informazioni sulle
rotte seguite dagli utenti Internet – per registrare i dati dei navigatori ai
fini pubblicitari è una pratica lecita.
Direttiva 02/58/CE
Articolo 5
• L’uso di reti di comunicazione elettronica per archiviare informazioni
o per avere accesso a informazioni archiviate nell’apparecchio
terminale di un abbonato o di un utente é consentito solo a condizione
che l’abbonato o l’utente interessato sia stato informato e che gli sia
offerta la possibilità di rifiutare. Ciò non impedisce l’eventuale
memorizzazione tenica o l’accesso al solo fine di effettuare o facilitare
la trasmissione di una comunciazione su una rete di comunicazione
elettronica o nella misura strettamente necessaria a fornire un servizio
della società dell’informazione esplicitamente richiesto dall’abbonato
o dall’utente.
Fattispecie
(spamming)
• Un organismo politico in periodo elettorale
ha reperito indirizzi di posta elettronica a
scopo di comunicazione politica utilizzando
un software a disposizione di un terzo il
quale archivierebbe indirizzi e-mail
visualizzati su pagine web accessibili a
chiunque in rete senza l’uso di password o
di altri sistemi di protezione
L’utilizzo dei dati per attività di
mailing
• Mail grabbing
(raccolta degli indirizzi in internet)
• Mail spamming
(invio di mailing non sollecitato)
Pronuncia
(spamming)
Garante per la protezione dei dati personali 11.01.01
• Gli indirizzi di posta elettronica reperiti sulla rete Internet su pagine
web non costituiscono dati contenuti in pubblici registri, elenchi, atti o
documenti conoscibili da chiunque ai sensi dell’articol 12 e dunque
trattabili senza il consenso dell’interessato. Pertanto l’invio di
messaggi di comunicazione politica a tali indirizzi costituisce un
trattamento non autorizzato illegittimo.
• La pubblicità dell’indirizzo di posta elettronica sulla rete Internet é
limitata allo scopo per il quale l’indirizzo é stato reso noto e pertanto
esso non é liberamente utilizzabile perl’invio generalizzato di email
anche quando queste non abbiano contenuto commerciale o
pubblicitario.
Direttiva 02/58/CE
Articolo 13
• L’uso della posta elettronica a fini di commercializzazione diretta é
consentito soltanto nei confronti degli abbonati che abbiano espresso
preliminarmente il loro consenso.
• Se una persona fisica o giuridica ottiene dai suoi clienti le coordinate
elettroniche per la posta elettronica nel contesto della vendita di un
prodotto o di un servizio, può utilizzare tali coordinate a scopo di
commercializzazione diretta di propri analoghi prodotti o servizi, a
condizione che ai clienti sia offerta al momento della raccolta delle
coordinate e ad ogni messaggio la possibilità di opporsi all’uso.
• E’ vietata la prassi di inviare messaggi di posta elettronica a scopi di
commercializzazione diretta camuffando o celando l’identità del
mittente da parte del quale la comunicazione é effettuata, o senza
fornire un indirizzo valido cui il destinatario possa inviare una
richiesta di cessazione di tali comunicazioni.
Fattispecie
(spamming commerciale)
Alcune società avevano attinto gli indirizzi
e.mail attraverso ricerche massive su
internet o attraverso software che
consentono di raccogliere gli indirizzi sulla
rete. Li avevano poi utilizzati per inviare
materiale pubblicitario.
Pronuncia
(spamming commerciale)
Garante per la protezione dei dati personali
26/07/02
Le società hanno violato le norme sulla privacy
che, per l'invio di comunicazioni di tipo
commerciale o promozionale, richiedono il
consenso informato degli interessati.
Bibliografia
Vincenzo Caridi
“La tutela dei dati personali in Internet: la
questione dei logs e dei cookies alla luce delle
dinamiche economiche dei dati personali”
In Il Diritto dell’Informazione e dell’Informatica
2001 Giuffrè editore pag. 763
La legge 675/96, così come tutta la normativa in
materia di privacy, è reperibile in
www.garanteprivacy.it