Bruxelles – Una raccomandazione perché vengano varate ufficialmente alcune “regole minime” per i siti Internet europei in merito alla privacy dei propri utenti e al trattamento dei dati personali. Questo è quanto prodotto dal consiglio europeo delle autorità di garanzia sulla privacy presieduto da Stefano Rodotà, il Garante italiano.
La raccomandazione inviata dal consiglio alla Commissione europea, al Parlamento, agli Stati membri e naturalmente al Consiglio d’Europa, nasce dall’idea che sia necessario offrire agli utenti ma anche ai “titolari dei siti” delle indicazioni certe sulle responsabilità e le garanzie in merito al trattamento dei dati.
Anche per questo scopo si raccomanda la creazione di un “bollino blu di qualità” che “contraddistingua” i siti che si adeguano alle richieste comunitarie. Tra queste la pubblicazione di “un primo gruppo di notizie che ciascun sito deve fornire a tutti i visitatori, in modo snello e visibile, e un nucleo più articolato di informazioni che il sito può fornire in altre pagine web evidenziando l’intera privacy policy del sito stesso”.
Queste informazioni devono comprendere anche identità ed indirizzo del titolare, una richiesta che appare sorprendente vista la facilità con cui è possibile, in caso di violazione, risalire al responsabile di un dominio o di un sito Internet. L’obbligo a pubblicare queste informazioni “bene in vista” potrebbe risultare sgradito a molti.
Ad ogni modo, le altre informazioni che i siti dovranno fornire comprendono anche: scopo dell’eventuale trattamento dei dati personali, procedure per esercitare il diritto di cancellazione, rettifica, accesso o opposizione alla gestione dei dati, eventuali terzi coinvolti dalla raccolta dati, eventuale utilizzo dei cookies e esplicitazione delle garanzie adottate per tutelare la riservatezza dei dati così raccolti.
Le informazioni dovranno essere fornite dai siti “direttamente sul monitor del singolo utente, prima che avvenga la raccolta dei suoi dati, così da garantire che il trattamento avvenga in modo leale come prescrive la direttiva; per farlo si può ricorrere alle varie possibilità messe a disposizione dalla tecnologia attuale: finestre “a scomparsa”, caselle da cliccare, messaggi “pop-up”. E? opportuno inoltre che sulla pagina di accoglienza del sito vi sia un?indicazione chiara e comprensibile dell?esistenza di un?informativa sulla privacy (ad esempio “Questo sito raccoglie e tratta dati personali che la riguardano. Per ulteriori informazioni, clicchi qui”)”.
La raccomandazione sottolinea che per il momento le informazioni che occorre offrire ai propri utenti per essere “in regola” sono solo un primo “nucleo” di informazioni e che “potranno essere integrati, in futuro, da ulteriori raccomandazioni di natura più specifica (ad esempio, per quanto riguarda il trattamento di dati sensibili o relativi a minori, oppure i trattamenti per scopi di natura sanitaria)”.
Un elemento importante della raccomandazione è quello secondo cui chi gestisce un sito può raccogliere dati personali nei limiti previsti ma solo se questa raccolta è “connaturata” e dunque necessaria alle finalità elencate per la raccolta stessa dei dati. Vale a dire che se quei dati possono non essere raccolti per gli scopi del sito, allora non vanno raccolti affatto. Conseguentemente si spinge per l’uso di nickname che nascondano le identità e per la più grande limitazione alla quantità oltreché varietà di dati raccolti.
Una nota della raccomandazione riguarda anche lo spam e afferma che gli indirizzi email non possano essere utilizzati dalle imprese per attività commerciali neppure se raccolti da aree pubbliche della Rete. L’uso è legittimo soltanto se l’utente ha dato il suo consenso a che ciò avvenga.
“Non utilizzare – affermano i garanti europei – indirizzi di posta elettronica ricavati da “aree pubbliche” di Internet (ad esempio, gruppi di discussione) per attività di marketing, nel caso in cui i diretti interessati non ne sono stati informati; se invece gli interessati sono stati informati della possibilità che i dati forniti in una sede determinata vengano utilizzati per scopi di marketing diretto, e hanno avuto la possibilità di dare il proprio consenso a questa forma di utilizzazione (magari cliccando online su una casella apposita), in tal caso l?uso di indirizzi di e-mail per fini di marketing è da ritenersi lecito. I titolari devono inoltre garantire che l?utente abbia la possibilità di ritirare il consenso all?uso dei suoi dati per fini commerciali.”
Una nota, quest’ultima, che ricorda da vicino quanto già deciso in Italia da Rodotà, che ha chiarito come non possano essere inviate email commerciali ad indirizzi rastrellati in Rete e senza un consenso esplicito dell’utente.
Soggetti a quanto previsto dalla raccomandazione saranno tutti coloro che risiedono in abito UE o che utilizzino apparati Internet che si trovano in uno dei paesi UE.
Ti potrebbe interessare
28 mag 2001