I - Stato di attuazione della legge n. 675/1996 - Relazione 2001

Trattamento di dati personali in Internet

52. Profili generali
Con riguardo ai trattamenti realizzati sulle reti telematiche, la continua evoluzione tecnologica che ha interessato il settore ha determinato il sorgere di nuove problematiche con riguardo alla protezione degli utenti rispetto al trattamento e alla circolazione dei loro dati personali.

Ciò è testimoniato anche dagli innumerevoli quesiti, segnalazioni, richieste di chiarimenti pervenuti sia da parte dei singoli utenti (in particolare in relazione alle modalità con cui gli stessi possono ottenere la cancellazione dei propri dati raccolti per il tramite dei siti Internet), sia da parte degli stessi gestori dei siti web.

È stato avviato un nuovo monitoraggio sulle modalità utilizzate da siti web italiani per fornire l´informativa e richiedere il consenso, ove necessario, nonché per ottemperare agli obblighi in materia di protezione dei dati.

L´Autorità ha già fornito alcuni primi chiarimenti circa le modalità con cui è possibile esercitare i diritti riconosciuti dall´articolo 13 della legge n. 675/1996 sulla rete Internet, fornendo di volta in volta indicazioni agli utenti al fine di ottenere la cancellazione dei propri dati personali o indicando ai gestori dei siti gli accorgimenti necessari per conformarsi alla disciplina sulla tutela dei dati personali e, quindi, le misure da adottare al fine di favorire l´esercizio dei diritti medesimi.

Con riguardo al diritto di accesso in questione, si segnala un intervento dell´Autorità, a seguito di un ricorso, in cui è stata riconosciuta la legittimità della richiesta dell´interessato di conoscere, ai sensi dell´art. 13, i propri dati personali contenuti nei messaggi di posta elettronica (Provv. 30 ottobre 2001, in Bollettino n. 23, p. 86).

Sono state altresì affrontate le problematiche legate all´utilizzo, da parte dei gestori di siti web, di particolari dispositivi e/o programmi (software spia, cookies) che, specie ove introdotti nel terminale dell´utente a sua insaputa, magari all´atto del suo collegamento ad un determinato sito, permettono di seguirne la navigazione, consentendo finanche l´accesso a informazioni archiviate dallo stesso.

Per tali ragioni, il Garante, anche a seguito di numerose segnalazioni prevenute in tal senso, ha provveduto a richiedere puntuali informazioni sui trattamenti realizzati a diversi gestori di siti Internet. Sulla base delle risultanze di tali controlli, nonché di quelli effettuati in via autonoma su altri siti, l´Autorità provvederà fra breve ad offrire alcune indicazioni con un provvedimento anche di carattere generale, al fine di invitare i gestori dei siti a conformarsi alle garanzie previste dal nostro ordinamento a tutela della riservatezza, tenendo conto anche dei principi della Raccomandazione adottata dal Gruppo dei garanti europei lo scorso 17 maggio 2001.

53. Comunicazioni indesiderate ed utilizzo dei nomi di dominio Internet
Il Garante si era occupato del problema dell´invio di messaggi di posta elettronica contenenti comunicazioni pubblicitarie indesiderate – il cosiddetto spamming – anche in passato (v. Relazione 2000, p. 68) ed aveva già avuto modo di confrontarsi, fra l´altro, con le differenti discipline previste in materia, in Europa e negli USA, a seconda dell´adozione di regimi fondati sul consenso positivo – ossia, sulla possibilità per l´utente di scegliere se accettare o meno tali comunicazioni pubblicitarie (cd. opt-in) – oppure sul consenso negativo (cd. opt-out ).

L´occasione per un nuovo esame della questione da parte dell´Autorità, è stata offerta dall´intenso contributo fornito nel quadro dei lavori di modifica della direttiva 97/66/CE del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (COM (2000)385 – COD 2000/0189; v. anche par. 77). Dopo un lungo dibattito in sede comunitaria, il 28 gennaio 2002, il Consiglio dell´Unione europea ha definito la cd. posizione comune in vista dell´adozione della direttiva, con la quale, seguendo l´orientamento innovativo proposto dalla Commissione rispetto alla direttiva del 1997, si prevede che la disciplina relativa all´invio di chiamate con sistemi automatizzati debba riferirsi anche ai messaggi di posta elettronica, applicando obbligatoriamente anche ad essi la regola del consenso positivo (opt-in) già osservata in alcuni Paesi europei.

In particolare, per quanto attiene specificamente all´invio di chiamate indesiderate, nella posizione comune si rinviene l´impostazione originaria, distinguendo anche l´ipotesi in cui le chiamate vengano effettuate con o senza l´intervento di un operatore (in quest´ultimo caso, che fa riferimento all´uso di strumenti automatizzati di chiamata, è stato previsto che per autorizzare l´invio sia necessario, in ogni caso, ottenere il consenso preventivo ed esplicito del ricevente). Tutto ciò in considerazione delle più ampie possibilità di invio anche durante orari notturni, nonché del fatto che, al di là della valenza intrusiva propria di tali forme di comunicazione, esse comportano spesso costi legati alla ricezione del messaggio (es. la carta del fax su cui viene stampato il messaggio o – ed è l´ipotesi che qui maggiormente ci interessa – i costi necessari a collegarsi alla rete telefonica per scaricare i messaggi di posta elettronica).

Va anche ricordata una pronuncia – alla quale si è fatto cenno al par. 29 – relativa all´invio non consensuale e generalizzato di e-mail con finalità di comunicazione politica (Provv. 11 gennaio 2001, in Bollettino n. 16, p. 39): nell´accogliere il ricorso, si è ribadita la nozione di pubblici registri, contenuta nella legge 675/1996, al fine di evidenziare il fatto che la rinvenibilità di indirizzi di posta elettronica in spazi pubblici di Internet non ne comporta un uso libero per l´ulteriore invio di posta elettronica.

In occasione di altri ricorsi, sono state esaminate questioni relative alla protezione dei domini Internet con specifico riguardo alla rettifica dei dati relativi al "registrant" (Provv. 7 marzo 2001, in Bollettino n. 18, p. 5) e alla pubblicazione di alcuni dati personali sulle pagine web lesive dell´onore e della reputazione (Provv. 16 gennaio 2001, in Bollettino n. 16, p. 36; v. anche Relazione 2000, p. 72).

54. Il codice deontologico
Come accennato, al fine di garantire la piena attuazione dei principi previsti dalla disciplina in materia di trattamento dei dati personali, il Garante, sulla base di quanto stabilito dal decreto legislativo 28 dicembre 2001, n. 467, ha promosso la sottoscrizione di un codice di deontologia e di buona condotta riguardante il trattamento dei dati personali effettuato nell´ambito dei servizi di comunicazione e informazione offerti per via telematica e in particolare nella rete web. Il codice avrà, fra l´altro, l´obiettivo di assicurare una più adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole ed interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti.

Con l´intento di garantirne un´adeguata pubblicità, si è previsto che il codice venga pubblicato sulla Gazzetta Ufficiale e che il suo testo sia allegato al testo unico sulla protezione dei dati personali che dovrà essere emanato entro la fine del 2002.

È necessario infine sottolineare che, al pari di quanto previsto per i codici sui trattamenti realizzati a fini storici o statistici, e nonostante la sua denominazione, tale codice non avrà il valore di una qualunque altra disposizione di carattere deontologico, ma assumerà la veste di una vera e propria fonte dell´ordinamento generale, come si evince dal fatto che il rispetto delle disposizioni in esso contenute costituirà condizione essenziale per la liceità del trattamento dei dati (art. 20 d.lg. n. 467/2001).