Legittima la registrazione alla Personal Zone?

di Andrea Lisi e Maurizio De Giorgi - Quando un point&click è sufficiente per chiedere il consenso al trattamento dei dati personali? Cosa succede quando l'utente esegue il log in per la prima volta? Un quadro della situazione

Roma - A causa del continuo accavallarsi di normative in tema di privacy e firma elettronica (pesante, leggera, accreditata, digitale e così via?) anche il semplice trattamento/registrazione elettronica dei propri dati personali sul web rischia di essere manifestato illegittimamente, con rischi di pesanti sanzioni a carico dei siti web titolari di tali dati?

Internet, come noto, ha sempre imposto il rispetto delle sue regole e delle sue consuetudini spesso avulse da ogni ?stringente? sistema di diritto positivo, sia nazionale, sia europeo, sia, infine, internazionale. In tal modo i giuristi esperti del settore continuano a doversi confrontare con non poche questioni interpretative oltre che pratiche.

Un tema al quale la dottrina in realtà ha dedicato ben poca attenzione, ma che è certamente destinato a diventare presto di scottante attualità, fa riferimento a quella prassi, molto diffusa tra i titolari dei siti web, di permettere ai propri utenti la registrazione, attraverso il noto meccanismo del ?point&click?, ad un?area riservata fornendo i propri dati personali (nome, cognome, codice fiscale, indirizzo mail?) e ricevendo così uno o più codici di identificazione personale grazie ai quali fruire successivamente di numerosi servizi on-line.
Per la compilazione di un form elettronico è necessario non solo fornire i propri dati personali - alcuni richiesti obbligatoriamente altri facoltativamente - ma occorre anche prestare il consenso espresso al trattamento dei medesimi dati. Quest?ultimo aspetto rappresenta il punto dolente dell?intera procedura ora descritta e merita di essere meglio approfondito.

La questione dal punto di vista giuridico si pone in questi termini: al momento dell?avvenuta registrazione, il consenso al trattamento dei dati personali è prestato validamente? Oppure gli adempimenti previsti dalla legge sono disattesi?

Il nostro argomentare va correttamente ricondotto nell?alveo delle norme di cui agli artt. 11, 20 e 22 della Legge 675/1996 (ovvero dell?art. 23 del Decreto Legislativo n. 196/2003 che prenderà il posto della legge n. 675 dal primo gennaio 2004) la cui corretta interpretazione fornirà la chiave di lettura per risolvere i nostri dubbi interpretativi.

Perché il consenso possa dirsi validamente prestato occorre che esso sia espresso liberamente, sia riferito ad uno specifico trattamento, sia documentato per iscritto (o manifestato in forma scritta in caso di dati sensibili) e sia informato.

Vediamo ora se nel caso della registrazione da parte di un utente ad un?area riservata di un sito sono integrati tutti i menzionati requisiti previsti dalla legge.

Non sorgono, in realtà, dubbi in ordine alla sussistenza del consenso espresso. Sul punto, infatti, c?è concordia tra la dottrina più accreditata e, peraltro, la Direttiva n. 58/2002/CE ha contribuito a fare chiarezza equiparando il sistema del point&click al consenso espresso.
Qualche ragionevole dubbio sorge invece con riferimento al requisito della documentazione per iscritto. In altre parole, la registrazione elettronica ad una ?personal zone? soddisfa il requisito della forma scritta?

Sul punto occorre riferirsi alle norme dettate in tema di firma elettronica, ovvero al Decreto Legislativo n. 10/2002 (art. 6) e al D.P.R. n. 445/2000 (art. 10). Il combinato disposto di tali prescrizioni ci porta a dire, per quanto più da vicino ci interessa, che il documento informatico privo di qualsiasi sottoscrizione è equiparabile ad una mera riproduzione meccanica i cui effetti sono quelli previsti dall?art. 2712 C.C., mentre il documento informatico provvisto della firma elettronica cd. ?leggera? soddisfa il requisito legale della forma scritta.

È facile arguire a questo punto come la prassi di cui si discute si potrebbe ritenere legittima solo ove si equiparasse l?anzidetta registrazione al documento elettronico provvisto di firma elettronica almeno leggera.
Ma sul punto non è possibile rispondere positivamente. Infatti, per aversi un documento informatico con firma elettronica leggera occorre che un insieme di dati in forma elettronica siano connessi logicamente ad altri dati elettronici sì da permettere l?individuazione precisa del singolo utente connesso in rete. Occorre, cioè, una corrispondenza biunivoca tra le parti (nel caso di specie: tra il gestore e l?utente del sito web) che si riconoscano vicendevolmente. E ciò può accadere per mezzo di un sistema di autenticazione informatica che ricorre non al momento della registrazione, giacché in questa fase chiunque può fornire dati immaginari o non veritieri, bensì in quello successivo che coincide con l?accesso all?area riservata per mezzo dei codici di identificazione personali (strumenti che permettono un?individuazione univoca del soggetto che li sta utilizzando) e che sono stati forniti presso l?indirizzo di posta elettronica fornito dall?interessato all?atto delle registrazione.

È quindi nel momento in cui l?utente registrato accede per la prima volta alla "personal zone" che deve richiedersi il consenso al trattamento dei dati personali; consenso che potrà così ritenersi legalmente anche documentato per iscritto e dirsi, così, validamente prestato.
La prassi oggi ampiamente diffusa in rete e sopra descritta deve essere disattesa giacchè erronea e possibile fucina, pertanto, di gravi sanzioni.

A questo punto appare opportuno evidenziare ancora un altro profilo di questa prassi che può ritenersi quanto meno opinabile.
Moltissimi titolari di siti web chiedono ai propri utenti, al momento della registrazione, il consenso al trattamento dei propri dati personali non solo ai fini della registrazione stessa ma anche per molte altre operazioni (quali, ad. es., l?eventuale invio di materiale pubblicitario, la cessione dei dati a terze società per fini di statistiche, etc.). Tali termini vanno invece tenuti distinti.

Per la sola registrazione, infatti, può anche non chiedersi il consenso al trattamento dei dati dal momento che si è in una fase precontrattuale rispetto alla conclusione di un contratto (che può definirsi di fornitura di servizi) e, pertanto, vige la regola dell?art. art. 12, comma 1, lett. b), Legge n. 675 cit. norma di fatto riprodotta dall?art. 24 del menzionato Decreto n. 196.

Per tutte le operazioni successive, invece, deve essere senza dubbio richiesto il consenso, il quale (come già ampiamente riferito) per dirsi anche documentato per iscritto deve essere prestato per il tramite di un documento informatico provvisto di firma elettronica almeno leggera.

Come si è cercato di chiarire, ciò potrà realizzarsi solo con l?utilizzo di un sistema di autenticazione informatica che ricorre quando l?utente utilizzando i propri codici personali accede all?area riservata di un sito. Proprio in questo momento - rectius proprio al primo accesso nell?area protetta - l?utente deve prestare il proprio consenso che potrà finalmente dirsi anche documentato per iscritto.

Con questa breve riflessione si spera di aver suscitato l?interesse dei giuristi al fine di ricercare sempre nuove e più corrette soluzioni ai diversi problemi tecnico-giuridici con cui gli operatori della rete sono chiamati quotidianamente a confrontarsi evitando, così, che questi ultimi si vedano applicate le pesanti sanzioni previste dal legislatore in tema di illecito trattamento dei dati personali.

Andrea Lisi* e Maurizio de Giorgi**

(*) avvocato in Lecce, studio legale Lisi. Titolare, con il dr. Davide Diurisi, dello studio associato D.&L., consulenza aziendale e legale. Vice presidente del centro studi & ricerche scint. Curatore del portale per l?internazionalizzazione www.scint.it. Membro nel comitato scientifico di varie riviste giuridiche telematiche. Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. docente in master dedicati al diritto dell?informatica, presso l?Università di Lecce, Padova e Messina. Direttore scientifico del corso post lauream di alta formazione in ?commercio elettronico & internazionale? organizzato da Scint in collaborazione con ed. Simone e Ipsoa, con il patrocinio del ministero Attività produttive e Ice (istituto per il commercio con l?estero). Collabora con la cattedra di diritto commerciale internazionale dell?università di Lecce.

(**) giurista in Lecce, collabora con lo studio legale Lisi e con il centro studi & ricerche Scint. Autore di numerosi saggi giuridici, anche in materie correlate alle nuove tecnologie.
12 Commenti alla Notizia Legittima la registrazione alla Personal Zone?
Ordina
  • Cosa succede se la società di gestione divulga a terzi, anche per scopi relativi all'utilizzo del servizio, come ad esempio la moderazione di un forum, oppure verificare che l'utente "bari" (pensiamo ad esempio ai giochi on line con soldi in palio, ma non necessariamente) user e password?

    E quale differenza c'è se un italiano usufruisce di un servizio la cui società non si trova in Italia ma in un paese comunitario che ancora non ha "recepito" la normativa?

    E se invece non si trova nemmeno nella comunità europea, ha qualche diritto in tal caso?

    Grazie per l'attenzione
  • Salve a tutti,
    a me risulta che l'indirizzo e-mail è un dato personale. Per altro la fase di registrazione spesso lo richiede, se ciò fosse vero il problema viene a porsi anche in fase di registrazione e quindi si rischia la famosa domanda "è venuto prima l'uovo o la gallina?".
    Del resto mi chiedo quanto possa aver senso una registrazione senza la richiesta dell'email, per la verfica dell'autenticità dei dati.
    Qualcuno mi sa dire dove fallisce il mio ragionamento?
    Grazie e buon lavoro a tutti.

       Jerry
    non+autenticato
  • La legge sulla privacy dovrebbe tutelare dal trattamento dei dati sensibili che sono cosa diversa dai dati personali.
    I dati anagrafici sono pubblici per esempio, o comunque sono comunicati dall'interessato al momento della registrazione.
    Secondo me per i dati personali non è necessario alcun consenso...o sbaglio?
    non+autenticato

  • - Scritto da: Anonimo
    > Secondo me per i dati personali non è
    > necessario alcun consenso...o sbaglio?

    Sbagli.
    non+autenticato
  • Per favore c'è qualcuno che mi traduce in italiano normale questo articolo?
    non+autenticato
  • Dato che non voglio arrivare alle 11.00 col mal di testa e dato che non sono in un'aula di tribunale, qualcuno mi fa un riassunto su cio' che dice?

    Se e' come l'ho capita io, il tipo allora farebbe nascere anche il problema del " entro in un sito porno online, mi tolgono soldi dalla carta di credito, li denuncio per furto perche' non c'e' nessun contratto scritto di quanto da me sottoscritto digitalmente".

    E' cosi o no?Sorride

    ryoga
    2003

  • - Scritto da: ryoga
    > Dato che non voglio arrivare alle 11.00 col
    > mal di testa e dato che non sono in un'aula
    > di tribunale, qualcuno mi fa un riassunto su
    > cio' che dice?
    >
    > Se e' come l'ho capita io, il tipo allora
    > farebbe nascere anche il problema del "
    > entro in un sito porno online, mi tolgono
    > soldi dalla carta di credito, li denuncio
    > per furto perche' non c'e' nessun contratto
    > scritto di quanto da me sottoscritto
    > digitalmente".
    >
    > E' cosi o no?Sorride

    Quello che ho capito io è che i tuoi dati personali possono essere usati solo dopo il login. Prima di loggarti tu fornisci dei dati che però non hanno valore e che soprattutto il webmaster non può dimostrare di aver ricevuto col tuo consenso ne di averti regolarmente informato dei tuoi diritti/doveri.

    L'idea è che il sito conferma la registrazione avvenuta fornendoti in un e-mail firmato digitalmente i dati necessari al tuo login e le condizioni di adesione e di trattamento dei tuoi dati personali. Al momento in cui tu ti loggi dimostri di aver ricevuto qui dati compreso i termini del contratto, e di accettarli.
    Se tu non accetti i termini non ti loggi.

    Mi pare un sistema molto più chiaro che quello in uso attualmente.

    In pratica il tuo consenso lo dai usando il servizio con dei dati inequivocabili (il tuo login) e non semplicemente cliccando su "OK".
    non+autenticato
  • Potrebbe esser cosi ( per me >tecnico< , le cose cambiano poco ), pero' vorrei capire, una delle cose elementari :

    - io vado su xyxzx.it e mi iscrivo. Ricevo la mail, non clicco il link di attivazione (se c'e') e non mi loggo. I miei dati restano nel db in attesa di attivazione o di primo login. Passano mesi...mi dimentico anche del sito, ma i miei dati, sono ancora conservati su quel server. Perche' dovrebbe passar dei guai il gestore del sito? Io mi sono iscritto e ho dato conferma spuntando la casellina dove "permetto" di gestire i miei dati personali per poter usufruire di un servizio (gratuito o a pagamento poco importa).
    Perche' complicarsi (in maniera illogica ) la vita in tal modo? Per render burocraticamente lenta anche internet oltre alle leggi italiane?
    ryoga
    2003
  • Nelle registrazioni tradizionali, un utente potrebbe introdurre dati sensibili (veri) relativi ad una persona terza e acconsentire al loro trattamento. Anche in assenza di completamento della attivazione tramite l'email generata dal sistema di registrazione, i dati rimarrebbero nel dbase senza la reale autorizzazione del diretto interessato.

    Con la nuova procedura le cose dovrebbero funzionare così: Entro in un sistema di registrazione indicando soltanto il mio indirizzo email e confermando di volermi registrare. Il sistema dovrebbe spedirmi un'email con il mio account ed un link (quello che tradizionalmente conduce alla pagina di attivazione) che mi condurrà ad una pagina di registrazione dei dati sensibili, preceduta da una richiesta di autorizzazione al loro trattamento.

    La differenza tra i due processi è di seguito sintetizzata:

    Nel primo processo l'identificazione dell'utente segue l'autorizzazione al trattamento dati:
    - Registrazione dati sensibili (anche da parte di chi non sia il soggetto interessato)
    - Autorizzazione al trattamento dati
    - (Eventuale) attivazione dell'account mediante email autogenerata
    - (Eventuale) identificazione

    Nel secondo processo l'identificazione dell'utente precede l'autorizzazione al trattamento dati:
    - Inserimento email
    - (Eventuale) attivazione dell'account mediante email autogenerata
    - (Eventuale) autenticazione
    - (Eventuale) registrazione dati sensibili (da parte di chi ha ricevuto le chiavi di attivazione e quindi tracciabile) e autorizzazione al loro trattamento

    In questa seconda ipotesi in caso di mancata autenticazione non si potrà immettere nel dbase dati sensibili. Chi lo facesse inserendo dati di terzi rimarrebbe (relativamente)rintracciabile grazie all'indirizzo email fornito.

    Si potrebbe obiettare che anche nel primo caso si è tenuti a fornire un indirizzo, ma potrebbe essere fasullo consentendo ugualmente l'immissione di dati sensibili di terzi.

    Credo che lo spirito della norma sia questo.
    non+autenticato
  • Per decenni di privacy nemmeno l'ombra, poi ci si sveglai e si fa una legge che ha causato un mare di problemi. Perchè? Perchè complicata.
    Ora esce fuori pure questo, in pratica io per accettare il trattamento dei dati personali devo firmare un documento cartaceo o un documento eletronico con le firma digitale.

    Se vado in un negozio di telefonia firma il consenso al trattamento dei dati consenso senza il quale il contratto non ha valore, Se vado a comprare e richiedo fattura devo firmare il consenso al trattamento dei dati senza il quale chi vende non può fare la fattura e conservare quindi questi dati.

    Assurdo, decisamente assurdo. A parte che questi datis ono pubblici, sono visibili in comune, alla camera di commercio, nei tribunali per esempio, per le aziende SRL SCRL e SPA addirittura i bilanci sono pubblici, rendere coperti dati coem ragione sociale indirizzo e PI o Codice fiscale è allucinante.

    Ben altra è la privacy da tutelare mentre sono da autorizzare i trattamenti di dati finalizzati all'invio di pubblicità, notizie o quant'altro non encessario allo scopo della registrazione, usufruire del servizio.

    E' vero che io potrei inserire dei dati non mie, ma allora commetterei io un reato non iltitolare del sito internet, e coem si fa a sviluppare una simile procedura coem descritto dall'avvocato?
    Chi compra in internet vuole fare tutto subito non fare e poi attendere autenticazioni e poi oggi chi ha la firma digitale?

    Sul mio sito le persone si registrano con i dati necessari per l'emissione della fatturazione e spedizione al loro domicilio. I dati restano su un database e non vengono trattati in alcun modo solo restano li registrati. Quando un cliente fa un acquisto questi non viene abbinato fino a che egli conferma l'acquisto inserendo la sua password per il log in, dopodichè sia io che lui riceviamo una mail identica, lui deve rispondere alla mai arrivata all'indirizzo registrato per confermare l'acquisto e se non risponde l'acquisto viene cancellato. e dal database sparisce l'ordine. Dati sensibili non ne sono richiesti obbligatoriamente, il telefonoe fax è facoltativo, solo la mail è obbligatoria con nome cognome indirizzo e se ditta partita iva. ora tutto ciò mi sembra ridicolo. Ribadisco la legge è esagerata a sto punto si proteggano i veri dati sensibili e la vera privacy non cose che sono comuni e conosciute da tutti




    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)