2. Lezione La tutela dei dati personali Fattispecie Un ex dipendente di una banca aveva intrapreso la professione di promotore finanziario e, prima di abbandonare la sede dell’istituto di credito, si era appropriato degli elenchi dei nominativi dei clienti della banca, costituendosi in questo modo un archivio utile per intraprendere la nuova attività Evoluzione della tutela Tutela della riservatezza (diritto ad essere lasciato solo) Tutela dei dati personali (diritto al controllo sul flusso dei dati) Tutela dell’identità personale (diritto ad essere rappresentati come si è) La legge 675/96 • titolare la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza. • interessato la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. La novità introdotta dalla legge 675/96 • Prima • Dopo titolare titolare dati dati interessato Ambito di applicazione • • • • • • si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato, anche quando esso sia effettuato da chi sia stabilito all’estero utilizzando mezzi situati nel territorio, a meno che ciò non avvenga solo ai fini di transito si applica al trattamento di dati di persone fisiche e persone giuridiche (salvo per quest’ultime alcune eccezioni negli adempimenti previsti dalla legge) si applica anche ai trattamenti effettuati senza l’ausilio di mezzi elettronici; non si applica (salve le disposizioni sulla sicurezza tecnica) al trattamento effettuato da persone fisiche per fini esclusivamente personali; si applica al settore pubblico e al settore privato; non si applica ai trattamenti nel settore della sicurezza pubblica, difesa dello Stato, amministrazione della giustizia. La qualità dei dati Articolo 9 • I dati personali oggetto di trattamento devono essere: • a) trattati in modo lecito e secondo correttezza; • b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; • c) esatti e, se necessario, aggiornati; • d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; • e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Regime privato Regime pubblico (quando il titolare è un soggetto pubblico) (quando il titolare è persona fisica, giuridica, ente o associazione) • • • • • informativa all’interessato consenso al trattamento dei dati (salvo i casi di esclusione previsti dalla legge) autorizzazione del garante e consenso scritto per il trattamento di dati sensibili notifica al Garante (salvo i casi di esclusione) adempimenti connessi all’esercizio dei diritti dell’interessato • • • • informativa all’interessato previsione normativa o regolamentare notifica al Garante (salvo i casi di esclusione) adempimenti connessi all’esercizio dei diritti dell’interessato La sicurezza dei dati Articolo 15 (estratto) I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Sentenza Configura il reato di trattamento illecito di dati, l’organizzazione di dati in un archivio informatico ed il successivo uso per inviare lettere promozionali a clienti, senza il loro consenso. (Pretura di Palermo 18 aprile 1999) La raccolta diretta e indiretta dei dati • I data log • I cookies • Lo spamming Direttiva 02/58/CE Articolo 5 • E’ vietato l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni e dei relativi dati sul traffico ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente. E’ consentita la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza. • E’ consentita la registrazione di comunicazioni e di dati sul traffico se effettuato nel quadro di legittime prassi commerciali allo scopo di fornire la prova di una transazione o di una qualsiasi altra comunicazione commerciale Fattispecie (cookies) • La Double Click, società americana di advertising on line, era stata citata in giudizio da diversi ricorrenti, con l’accusa di violazione del diritto alla privacy e ingiusto arricchimento personale. Richiamandosi all’Electronic Communications Privacy Act (Ecpa), la legge americana che proibisce l'intercettazione, l’accusa aveva contestato alla Double Click l’utilizzo dei cosiddetti cookies, attraverso i quali dal 1996 la società pubblicitaria aveva raccolto, secondo i ricorrenti, informazioni personali degli utenti. Sentenza (cookies) District Court New York 28.3.01 Utilizzare i cookies - i programmi che raccolgono informazioni sulle rotte seguite dagli utenti Internet – per registrare i dati dei navigatori ai fini pubblicitari è una pratica lecita. Direttiva 02/58/CE Articolo 5 • L’uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente é consentito solo a condizione che l’abbonato o l’utente interessato sia stato informato e che gli sia offerta la possibilità di rifiutare. Ciò non impedisce l’eventuale memorizzazione tenica o l’accesso al solo fine di effettuare o facilitare la trasmissione di una comunciazione su una rete di comunicazione elettronica o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente. Fattispecie (spamming) • Un organismo politico in periodo elettorale ha reperito indirizzi di posta elettronica a scopo di comunicazione politica utilizzando un software a disposizione di un terzo il quale archivierebbe indirizzi e-mail visualizzati su pagine web accessibili a chiunque in rete senza l’uso di password o di altri sistemi di protezione L’utilizzo dei dati per attività di mailing • Mail grabbing (raccolta degli indirizzi in internet) • Mail spamming (invio di mailing non sollecitato) Pronuncia (spamming) Garante per la protezione dei dati personali 11.01.01 • Gli indirizzi di posta elettronica reperiti sulla rete Internet su pagine web non costituiscono dati contenuti in pubblici registri, elenchi, atti o documenti conoscibili da chiunque ai sensi dell’articol 12 e dunque trattabili senza il consenso dell’interessato. Pertanto l’invio di messaggi di comunicazione politica a tali indirizzi costituisce un trattamento non autorizzato illegittimo. • La pubblicità dell’indirizzo di posta elettronica sulla rete Internet é limitata allo scopo per il quale l’indirizzo é stato reso noto e pertanto esso non é liberamente utilizzabile perl’invio generalizzato di email anche quando queste non abbiano contenuto commerciale o pubblicitario. Direttiva 02/58/CE Articolo 13 • L’uso della posta elettronica a fini di commercializzazione diretta é consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso. • Se una persona fisica o giuridica ottiene dai suoi clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o di un servizio, può utilizzare tali coordinate a scopo di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta al momento della raccolta delle coordinate e ad ogni messaggio la possibilità di opporsi all’uso. • E’ vietata la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta camuffando o celando l’identità del mittente da parte del quale la comunicazione é effettuata, o senza fornire un indirizzo valido cui il destinatario possa inviare una richiesta di cessazione di tali comunicazioni. Fattispecie (spamming commerciale) Alcune società avevano attinto gli indirizzi e.mail attraverso ricerche massive su internet o attraverso software che consentono di raccogliere gli indirizzi sulla rete. Li avevano poi utilizzati per inviare materiale pubblicitario. Pronuncia (spamming commerciale) Garante per la protezione dei dati personali 26/07/02 Le società hanno violato le norme sulla privacy che, per l'invio di comunicazioni di tipo commerciale o promozionale, richiedono il consenso informato degli interessati. Bibliografia Vincenzo Caridi “La tutela dei dati personali in Internet: la questione dei logs e dei cookies alla luce delle dinamiche economiche dei dati personali” In Il Diritto dell’Informazione e dell’Informatica 2001 Giuffrè editore pag. 763 La legge 675/96, così come tutta la normativa in materia di privacy, è reperibile in www.garanteprivacy.it