g-docweb-display Portlet

  1. Home
  2. Stampa e comunicazione
  3. Newsletter
  4. Newsletter 14 - 20 maggio 2001

Newsletter 14 - 20 maggio 2001

Stampa Stampa Stampa

Newsletter 14 - 20 maggio 2001

 

  • Dai Garanti europei le prime regole per Internet
  • Le dichiarazioni di Atene
  • Stati Uniti : poche aziende tutelano la privacy
  • I costi della privacy: opinioni a confronto negli Usa

 

Dai Garanti europei le prime regole per Internet

Arrivano le prime regole specifiche per il cyberspazio. Il 17 maggio le autorità per la protezione dei dati dell´Unione europea, presiedute da Stefano Rodotà, hanno adottato una Raccomandazione, indirizzata al Consiglio d´Europa, alla Commissione, al Parlamento europeo ed agli Stati membri, che fissa alcuni requisiti minimi per la raccolta di dati personali online.

La Raccomandazione nasce dall´esigenza di fornire indicazioni concrete sia agli operatori del settore responsabili del trattamento di dati personali nell´ambito di siti web (i "titolari", secondo la definizione della Direttiva) sia ai singoli cittadini; essa è rivolta anche agli enti che intendono creare un "bollino di qualità" che certifichi la rispondenza delle procedure di trattamento utilizzate alle direttive dell´UE in materia.

L´aspetto significativo risiede anzitutto nella distinzione tra un primo gruppo di notizie che ciascun sito deve fornire a tutti i visitatori, in modo snello e visibile, e un nucleo più articolato di informazioni che il sito può fornire in altre pagine web evidenziando l´intera privacy policy del sito stesso.

Le indicazioni riguardano, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari devono fornire agli utenti quando questi si collegano a pagine web, indipendentemente dagli scopi del collegamento. I Garanti sottolineano che i requisiti indicati sono un nucleo "minimo" e che potranno essere integrati, in futuro, da ulteriori raccomandazioni di natura più specifica (ad esempio, per quanto riguarda il trattamento di dati "sensibili" o relativi a minori, oppure i trattamenti per scopi di natura sanitaria).

La Raccomandazione si applica a tutti i trattamenti effettuati da titolari che siano stabiliti in uno degli Stati dell´UE, oppure che non siano stabiliti nell´UE ma utilizzino, ai fini del trattamento, apparecchiature o dispositivi situati sul territorio di uno Stato membro dell´UE - secondo quanto prevede la direttiva 95/46/CE in materia di protezione dei dati personali.

I Garanti raccomandano pertanto:

  1. di fornire preventivamente a chiunque si colleghi ad un sito web che preveda la raccolta di dati personali le informazioni indicate nella direttiva: identità e indirizzo (elettronico o meno) del titolare, finalità del trattamento, obbligatorietà delle informazioni richieste all´utente (vi possono essere dati necessari per fornire un servizio richiesto da un utente, mentre altri sono opzionali), modalità per esercitare i diritti di accesso, rettifica, cancellazione, opposizione al trattamento, destinatari eventuali delle informazioni raccolte (e in tal caso l´utente deve avere la possibilità di opporsi alla trasmissione dei suoi dati ad altri soggetti, per scopi diversi da quelli per cui gli vengono richiesti dal sito - ad esempio cliccando su una casella specifica), eventuale utilizzo di procedure automatiche per la raccolta dei dati (è il caso, ad esempio, dei cookies), misure di sicurezza adottate per garantire l´integrità e la riservatezza dei dati richiesti;
  2. di fornire le informazioni sopra elencate direttamente sul monitor del singolo utente, prima che avvenga la raccolta dei suoi dati, così da garantire che il trattamento avvenga in modo leale come prescrive la direttiva; per farlo si può ricorrere alle varie possibilità messe a disposizione dalla tecnologia attuale: finestre "a scomparsa", caselle da cliccare, messaggi "pop-up". E´ opportuno inoltre che sulla pagina di accoglienza del sito vi sia un´indicazione chiara e comprensibile dell´esistenza di un´informativa sulla privacy (ad esempio "Questo sito raccoglie e tratta dati personali che la riguardano. Per ulteriori informazioni, clicchi qui");
  3. di tenere presente che i titolari hanno anche altri obblighi sanciti sempre dalla direttiva, oltre al dovere di informare adeguatamente gli interessati. In particolare, è necessario che la raccolta di dati personali sia necessaria per le finalità specificate: pertanto, se l´obiettivo che il titolare si prefigge (fornire un servizio, un´informazione, ecc.) può essere raggiunto senza elaborare dati personali, questi non devono essere raccolti. Nella stessa ottica, si sottolinea l´opportunità di favorire ed accettare l´impiego di pseudonimi quando questi ultimi permettano comunque di svolgere determinate transazioni. Inoltre, non devono essere raccolti più dati di quelli necessari per lo scopo dichiarato (è il principio cosiddetto di "pertinenza"), e i dati raccolti devono essere conservati solo per un periodo giustificato dalle finalità del trattamento;
  4. di non utilizzare indirizzi di posta elettronica ricavati da "aree pubbliche" di Internet (ad esempio, gruppi di discussione) per attività di marketing, nel caso in cui i diretti interessati non ne sono stati informati; se invece gli interessati sono stati informati della possibilità che i dati forniti in una sede determinata vengano utilizzati per scopi di marketing diretto, e hanno avuto la possibilità di dare il proprio consenso a questa forma di utilizzazione (magari cliccando online su una casella apposita), in tal caso l´uso di indirizzi di e-mail per fini di marketing è da ritenersi lecito. I titolari devono inoltre garantire che l´utente abbia la possibilità di ritirare il consenso all´uso dei suoi dati per fini commerciali.

 

Le dichiarazioni di Atene

I Garanti europei, riunitisi ad Atene per la "Conferenza di primavera" dal 10 all´11 maggio, hanno approvato due importanti dichiarazioni sulla protezione dei dati.

Nella prima, i Garanti europei hanno espresso forte preoccupazione per il progetto in base al quale i fornitori di servizi Internet - allo scopo di permettere l´eventuale accesso da parte delle forze di polizia impegnate nella lotta al cybercrime - dovrebbero conservare i dati relativi al traffico in rete per un periodo più lungo rispetto a quello richiesto a fini di fatturazione.

La Conferenza ha ribadito le posizioni già espresse, nell´aprile dello scorso anno, a Stoccolma, in base alle quali la conservazione di dati per un periodo lungo e indeterminato è da considerarsi una violazione dei diritti fondamentali garantiti dall´art. 8 della Convenzione europea dei diritti dell´uomo e dalla Convenzione del Consiglio d´Europa sul trattamento automatizzato dei dati di carattere personale (Convenzione n.108 del 1981), oltre che dagli articoli 8 e 7 della Carta dei diritti fondamentali dell´Unione Europea.

Qualora, in casi specifici, fosse necessario conservare per più tempo i dati, occorrerebbe, a parere dei Garanti europei, mettere in atto precise cautele: dimostrare la necessità del prolungato periodo di conservazione, che dovrà comunque essere il più breve possibile, e regolamentare con legge i casi eccezionali.

La seconda dichiarazione riguarda la Carta Europea dei diritti fondamentali. I Garanti hanno espresso grande soddisfazione per il testo dell´art. 8 della Carta che rafforza le previsioni sulla protezione dei dati personali e che riconosce la privacy come diritto umano fondamentale. Con la Carta è stato costituito un vero e proprio "modello europeo" di protezione dei dati personali. Questo modello sta orientando la discussione nella comunità internazionale e dovrebbe favorire la diffusione di un approccio che riconosca la protezione dei dati come una componente basilare della cittadinanza elettronica.

Il modello europeo di protezione dei dati dovrebbe, inoltre, valere come linea guida per tutte le istituzioni europee nel rivedere la normativa esistente e sviluppare nuove regole così come nel costruire relazioni con i paesi terzi.

I Garanti hanno, pertanto, invitato la Commissione e il Parlamento europei a porre attenzione su questa importante questione. 

 

Stati Uniti : poche aziende tutelano la privacy
(da Newsbytes-Washington Post.com del 9 maggio 2 - Articolo di Michael Bartlett)

Secondo uno studio recentemente condotto da Computer Economics, una società di ricerca che offre consulenza in materia tecnologica per le imprese, solo un terzo delle aziende negli USA ha messo in atto un piano specifico per la tutela della privacy.

Lo studio ha preso in esame 518 aziende, distribuite equamente in tutti i settori. Le aziende del settore assicurativo risultano essere le più solerti (il 45.8% dispone di un programma specifico), mentre la maglia nera va alle società di servizi (23.8%) che comprendono anche studi legali e contabili ed altre società di consulenza. Il dato interessante è che il 23.5% delle imprese non hanno neppure iniziato a redigere un programma ed una politica specifici in materia di privacy.

Il responsabile della ricerca e vicepresidente della Computer Economics, Michael Erbschloe, ha dichiarato che dalle valutazioni successivamente effettuate per capire i motivi di un tasso così elevato di inattività è emerso che due erano le ragioni fondamentali: "Varie aziende hanno affermato di non cedere mai dati ad altri soggetti, per cui non avevano pensato a formulare un piano specifico in materia.(…) La maggioranza ha però confessato che, non sapendo cosa fare né da dove iniziare, ha preferito non fare niente".

Secondo Erbschloe la responsabilità di questa scarsa reattività è da imputare in parte al cambio della guardia nell´Amministrazione americana. L´Amministrazione Clinton, pur non favorevole ad una legislazione generalizzata sulla privacy, tendeva a seguire l´esempio dell´Unione Europea, dove "la normativa in materia di privacy è più rigida rispetto agli Stati Uniti. L´Amministrazione ha collaborato con l´UE per adottare i principi del cosiddetto "approdo sicuro", che garantirebbero un livello più elevato di tutela della privacy." L´Amministrazione Bush non è invece favorevole all´introduzione di meccanismi più rigidi, per cui molte imprese si chiedono se sia il caso di spendere tempo e denaro per mettere a punto un programma in materia di privacy. "Le aziende hanno scelto una linea attendista, perché non sono sicure degli obblighi che si troveranno a dover affrontare", ha dichiarato Erbschloe.

Erbschloe ha comunque rilevato che negli ultimi anni il quadro complessivo è andato migliorando per quanto riguarda la privacy, ma ha sottolineato che mancano al riguardo prove di tipo statistico. "Non c´è dubbio che sia aumentata la sensibilità per questi temi, e può darsi che siano in via di definizione progetti specifici elaborati dai settori gestionali delle singole imprese: di fatto, tuttavia, gli specialisti di tecnologie dell´informazione da noi interpellati non erano a conoscenza dei particolari di questi progetti." 

 

I costi della privacy: opinioni a confronto negli Usa

I COSTI DELLA PRIVACY: OPINIONI A CONFRONTO NEGLI USA
(da un articolo di Declan McCullagh su WiredNews e dall´articolo scritto dal Prof. Peter P. Swire e pubblicato sul sito www.osu.edu/unit/law/swire1)

Sono stati recentemente pubblicati negli USA due studi che mirano a definire i costi legati all´introduzione di nuove disposizioni di legge in materia di privacy su Internet. Il primo si occupa della "mania da sondaggio" che secondo gli autori (Solveig Singleton, avvocato presso il Competitive Enterprise Institute, e Jim Harper di Privacilla.org) è particolarmente diffusa nel settore della privacy. I due studiosi contestano la validità di molti sondaggi di opinione e indagini condotte in questo campo, perché la privacy è un concetto di difficile definizione e tende ad essere confuso con altri concetti come lo spamming o la sicurezza in rete; inoltre, nei sondaggi non si terrebbe debito conto dei costi della legislazione sulla privacy, dei benefici indirettamente derivanti dal libero flusso delle informazioni e dei costi per il singolo contribuente legati all´eventuale istituzione di una nuova agenzia federale competente in materia.

Più "concreto" appare invece lo studio realizzato dall´American Enterprise Institute-Brookings Center ad opera di Robert Hahn, con il sostegno della Association for Competitive Technology. Secondo Hahn, l´approvazione di legislazione federale sulla privacy in Internet potrebbe costare alle imprese fino a 36 miliardi di dollari [circa 78.000 miliardi di lire] - il che vorrebbe dire il fallimento assicurato per molte imprese del settore tecnologico, ove già la situazione non è rosea. Per Hahn "occorre chiedersi due cose quando si parla di leggi: se una nuova legge servirà a placare le preoccupazioni di associazioni come EPIC [Electronic Privacy Information Center, un´associazione no-profit che da anni si occupa di privacy negli USA e non solo], e, in tal caso, se questo risultato potrà essere ottenuto in modo economicamente vantaggioso".

Alle osservazioni di Hahn ha subito replicato EPIC attraverso Chris Hoofnagle, che ha sottolineato come "tutti i diritti abbiano conseguenze economiche per la società. Se il mercato dettasse legge, potremmo tranquillamente reintrodurre il lavoro minorile. Dobbiamo invece creare una società in cui il mercato funzioni e al tempo stesso riconosca i nostri valori". Il principio è che la privacy è un diritto fondamentale e deve essere sancito per legge, anche se ciò può comportare licenziamenti o fallimenti.

Lo studio di Hahn ha però trovato una critica più articolata nelle osservazioni del Prof. Peter P. Swire, uno dei maggiori esperti internazionali di privacy e a lungo consigliere del Presidente Clinton in materia di privacy. Secondo Swire, le conclusioni dello studio sono viziate da una serie di errori nell´analisi condotta ed i costi stimati sono eccessivi.

In primo luogo, nello studio non si tiene conto in misura adeguata di un punto fondamentale ai fini della stima dei costi: il termine di paragone. I costi legati all´introduzione di norme sulla privacy corrispondono alla differenza fra il comportamento delle imprese in assenza di normativa e il comportamento delle stesse imprese una volta che tale normativa fosse emanata. La stima dipende in misura essenziale dal termine di riferimento utilizzato per valutare i costi in questione: è chiaro che se le imprese (come sta avvenendo) hanno già adottato una serie di misure ed accorgimenti per tutelare la privacy (vuoi per accrescere la fiducia dei consumatori, vuoi per rispettare determinati standard esistenti al di fuori degli USA), non è possibile stimare i costi necessari per l´attuazione di disposizioni in materia come se si trattasse di qualcosa di assolutamente nuovo. Per citare l´espressione utilizzata da Swire, "è come stimare il costo della costruzione di una casa senza sottrarre il costo delle fondamenta e di un paio di muri che stanno già in piedi".

Soprattutto, comunque, i costi stimati sono eccessivi per quattro motivi fondamentali:

a) lo studio di Hahn non fa alcuna differenza fra siti grandi e piccoli, ipotizzando un costo di 100.000 dollari per un sito complesso e di grandi dimensioni (= con più di 500 dipendenti) che volesse mettersi in regola con ipotetiche norme sulla privacy. E´ irragionevole, tuttavia, ritenere che un sito di piccole dimensioni spenda 100.000 dollari per attuare disposizioni in materia di privacy. b) Il numero di siti cui fa riferimento lo studio è pari a 360.000, ma in effetti nello stesso studio si riconosce che negli USA sono solo 94.000 i siti commerciali di "medie-grandi dimensioni". Gli altri 246.000 sono siti di piccole dimensioni, ai quali non è applicabile la stima di 100.000 dollari sopra indicata.

c) I criteri fissati nello studio per il funzionamento di un ipotetico sistema di tutela della privacy sono eccessivamente severi e non corrispondono a nessuna delle proposte di legge sinora avanzate negli USA (ad esempio, il sistema dovrebbe consentire sempre a tutti gli utenti di rintracciare tutti i destinatari dei loro dati personali online, e di accedere anche al contenuto completo delle informazioni trasferite a terzi).

d) La stima di 100.000 dollari per sito si riferisce alla creazione di un sistema complesso (secondo i criteri sopra indicati) totalmente ex novo; tuttavia, questa stessa stima è stata utilizzata come valore medio di riferimento per tutti i siti. In sostanza, per arrivare al totale di 36 miliardi di dollari, si è ipotizzato che ciascuno dei 360.000 siti (grandi e piccoli) spendesse 100.000 dollari per costruire ex novo un sistema del genere. E´ chiaro, però, che soprattutto i siti di medio-piccole dimensioni non chiederanno ad un programmatore di creare da zero un programma che garantisca la tutela della privacy, ma utilizzeranno pacchetti di software già disponibili ed elaborati da società di informatica. In sostanza, è irrealistico ritenere che il 360millesimo sito spenderà la stessa cifra del primo fra essi che metta in atto l´eventuale normativa sulla privacy.

In ultima analisi, e tenendo conto anche delle misure già adottate dalle imprese in questo campo pur in assenza di norme specifiche, si può ritenere che i costi effettivi legati all´implementazione di sistemi a tutela della privacy su Internet siano almeno di un ordine di grandezza inferiori rispetto a quelli indicati, e dunque non superino i 4 miliardi di dollari. Secondo Swire, la cifra reale è in effetti ancora più bassa.

Scheda

Doc-Web
43647
Data
14/05/01

Tipologie

Newsletter