g-docweb-display Portlet

Newsletter 21 - 27 gennaio 2002

Stampa Stampa Stampa

Newsletter 21 - 27 gennaio 2002  

 

  • Le nuove norme sulla privacy
  • Double Click fa marcia indietro sulla profilazione on line
  • Telemarketing: la FTC Usa propone un registro per l´opt-out

 

Le nuove norme sulla privacy

Entra in vigore oggi 1 febbraio il decreto legislativo n. 467 del 28 dicembre 2001 (pubblicato sulla G.U. n.13 del 16 gennaio 2002), che integra e modifica la normativa sulla privacy. Il provvedimento legislativo rappresenta una tappa importante nel processo di semplificazione per quanti devono applicarla e di rafforzamento delle garanzie per i cittadini.

Qui di seguito viene illustrata una sintesi delle maggiori novità introdotte dal decreto.


Semplificazioni
Viene snellito il sistema delle notificazioni. Se fino ad ora lo snellimento si è basato su esoneri e notificazioni semplificate su base facoltativa, il nuovo decreto prevede invece l´individuazione di un elenco tassativo e ristretto di categorie di soggetti tenuti a questo obbligo. Vengono così escluse dalla notificazione le banche dati di routine, comunque individuabili.

Si ampliano i casi che pongono meno rischi per gli interessati e per i quali è consentito trattare i dati senza il consenso dell´interessato:

Non sarà necessario chiedere il consenso per adempiere ad obblighi contrattuali e pre-contrattuali. Il caso riguarda anche banche e assicurazioni per finalità legate all´espletamento dei servizi richiesti (tale intervento risolve, in particolare, il cd. "pregresso bancario", vale a dire la mancata prestazione del consenso da parte dell´interessato alla trasmissione dei dati a terzi da parte del proprio istituto di credito).

I soggetti privati titolari del trattamento possono trattare i dati senza il consenso dell´interessato, quando ci sia un legittimo interesse di chi gestisce i dati (titolare del trattamento) o di un terzo al quale i dati sono comunicati, e non prevalga un diritto fondamentale o un altro legittimo interesse della persona interessata (cosiddetto principio del "bilanciamento di interessi" che verrà tradotto in concreto da provvedimenti del Garante).

Senza consenso dell´interessato, ma con l´autorizzazione del Garante, possono essere raccolti ed utilizzati anche alcuni dati sensibili quando si tratti di: 1) taluni trattamenti effettuati, al loro interno, da associazioni che operano in ambito religioso, politico o sindacale, con particolare riferimento alle confessioni religiose ed in presenza di alcune garanzie; 2) trattamenti svolti in presenza di esigenze di salvaguardia della vita o dell´ incolumità fisica; 3) trattamenti effettuati per esigenze di investigazioni difensive o per la tutela di un diritto in sede giudiziaria, in conformità con il codice deontologico degli avvocati e degli investigatori.

Il modello di informativa, con le indicazioni sull´uso che verrà fatto dei dati dell´interessato e dei diritti che può esercitare, viene snellito. Dovrà, però, essere specificato almeno un responsabile (preferibilmente quello al quale l´interessato può rivolgersi per far valere i suoi diritti).


Rafforzamento delle garanzie per i cittadini
Diventa specifico reato la produzione di dichiarazioni o documenti falsi dinanzi all´Autorità Garante anche in fase ispettiva o l´inosservanza del divieto del Garante di proseguire un trattamento illecito, anche quando non comporti un pregiudizio rilevante.

Il Garante potrà bloccare o vietare ogni tipo di trattamento illecito anche in assenza di un pregiudizio rilevante per le persone interessate, diversamente da quanto era previsto in precedenza (eventualmente concedendo dapprima un termine per regolarizzare il trattamento).

La raccolta e l´uso di dati, anche attraverso nuove tecnologie, che possono comportare specifici rischi per i diritti e le libertà delle persone dovranno essere preventivamente esaminati dal Garante, il quale dovrà stabilire misure a accorgimenti da rispettare a garanzia delle persone (il cosiddetto "prior checking").

La legge sulla privacy si applicherà anche alla gestione dei dati effettuata da chi, pur avendo sede in Paesi non appartenenti all´Unione Europea, utilizza però, per il trattamento dei dati, strumenti situati nel nostro Paese. La norma può riferirsi, ad esempio, ai cosiddetti "trattamenti invisibili", come l´invio dei "cookies".


Depenalizzazione
Sono state escluse specifiche conseguenze penali nel caso di trattamenti effettuati per motivi esclusivamente personali - cioè con un computer "domestico" - per chi omette le misure minime di sicurezza prescritte dalla normativa sulla privacy.

Viene depenalizzata l´omessa, non tempestiva o incompleta notificazione (la comunicazione al Garante dell´esistenza di una banca dati), prevedendo però la pubblicazione del provvedimento dell´Autorità, per compensare l´omessa pubblicità della banca dati. Si pagherà una sanzione amministrativa da 5.164,6 a 30.987,4 euro (da 10 a 60 milioni di lire).

I titolari del trattamento che omettono l´adozione delle misure minime di sicurezza possono regolarizzare la loro posizione, anche a fini penali, attuando le misure e con il pagamento di una somma stabilita (il cosiddetto "ravvedimento operoso"). L´ammenda va da 5.164,6 a 41.316,6 euro (da 10 a 80 milioni di lire).


Multe aumentate
Sono stati adeguati i livelli di alcune sanzioni amministrative pecuniarie, anche in riferimento alle capacità economiche del contravventore: la sanzione per la mancata informativa all´interessato arriva fino a 9.296,2 euro (18 milioni di lire) e a 15.493,7 euro (30 milioni di lire) nei casi di maggiore pregiudizio per l´interessato, mentre quella per chi omette di fornire al Garante la documentazione richieste è aumentata fino a 15.493,7 euro (30 milioni di lire)


Una nuova categoria di dati: i dati "semi-sensibili"
È nata una terza categoria di dati, "semi-sensibili" a cavallo tra i "comuni" e i "sensibili"(si dovrà valutare, ad esempio, il regime applicabile a certe liste di sospettati o a nominativi inseriti nelle centrali rischi, a impronte digitali etc.) il cui trattamento potrà iniziare solo dopo che il Garante abbia stabilito preventivamente, entro il gennaio 2003, gli eventuali accorgimenti da adottare (il cosiddetto "prior checking).


I codici deontologici
Importanti settori come Internet, la videosorveglianza, il direct marketing, il rapporto di lavoro, l´informazione commerciale, le cosiddette "centrali rischi" saranno disciplinati attraverso i codici di deontologia e di buona condotta, che dovranno essere promossi dal Garante entro il giugno 2002, e messi a punto dagli organismi rappresentativi dei vari settori (finora, quelli adottati, riguardano l´attività dei giornalisti, degli storici e degli statistici), previa verifica da parte dell´Autorità della loro conformità alla legge.


Privacy e telecomunicazioni
La legge introduce altre garanzie in materia di telecomunicazioni: l´obbligo per i fornitori di servizi di telecomunicazioni di informare adeguatamente il pubblico circa l´identificazione della linea chiamante e l´esigenza che i fornitori stessi assicurino la disattivazione di tale servizio per le chiamate di emergenza.

I fornitori di servizi telefonici dovranno rendere effettivo l´uso di modalità di pagamento alternative alla fatturazione in modo da assicurare l´anonimato dell´utente(ad es., carte pre-pagate).

 

Double Click fa marcia indietro sulla profilazione on line
(da un articolo di Stefanie Olsen per CNET News.com, dell´8 gennaio 2002)

DoubleClick ha deciso di interrompere il servizio di profilazione on-line, finalizzato alla definizione e all´invio tramite Internet di annunci pubblicitari personalizzati, perché troppo costoso rispetto agli introiti da esso derivanti. DoubleClick è la società di pubblicità on-line salita agli onori della cronaca per il progetto di fondere ed incrociare il proprio database on-line con vari archivi "tradizionali" acquistati da ditte di marketing.

La società aveva presentato il servizio nel 2000 come la vera chiave per il successo delle attività pubblicitarie on-line. Si trattava di un software in grado di raccogliere informazioni in modo anonimo dai siti web visitati da un utente e di elaborare un profilo delle preferenze personali così da permettere ad altre imprese di inviare annunci pubblicitari personalizzati (generalmente sotto forma di banners). Il servizio ha subito incontrato una fortissima opposizione da parte di associazioni e gruppi a difesa della privacy, e lo stesso FTC, l´ente federale per il commercio degli USA, aveva criticato la pratica di raccogliere i dati personali dei consumatori.

La crisi che ha colpito nel 2001 le società operanti su Internet è stata la goccia finale: i costi eccessivi del servizio (anche quattro volte superiori a quelli richiesti dall´invio di annunci pubblicitari in modo casuale) hanno reso improponibile l´attività di profilazione da parte di DoubleClick. Lo scorso 31 dicembre la società ha quindi deciso che il servizio di profilazione "intelligente" non era più redditizio.

 

Telemarketing: la FTC Usa propone un registro per l´opt-out

La Federal Trade Commission degli Stati Uniti, ossia l´organismo competente a vigilare sul rispetto della normativa federale in materia di commercio e transazioni commerciali, ha proposto la scorsa settimana di istituire un registro nazionale di opt-out (vedi comunicato stampa del 22 gennaio 2002 sul sito della FTC www.ftc.gov).

In sostanza, i consumatori che non desiderano ricevere telefonate con offerte commerciali potranno segnalarlo alla FTC, la quale provvederà ad inserirne il nominativo in un elenco nazionale che tutte le imprese di marketing saranno tenute a consultare prima di contattare la clientela. Attualmente, invece, il consumatore USA può chiamarsi fuori (opt-out) solo su base individuale, impresa per impresa.

La proposta fa parte del pacchetto di misure pro-privacy annunciato dal direttore della FTC lo scorso ottobre. Essa andrebbe a modificare alcune delle disposizioni contenute nella Legge sulle vendite in telemarketing, che già tutela i consumatori dalle chiamate indesiderate o notturne e proibisce le pratiche ingannevoli. L´accento è posto, in questo caso, sul potenziamento della prevenzione contro iniziative del genere e sull´effettiva possibilità per il consumatore di controllare se e quando ricevere offerte commerciali via telefono.

Per il momento si tratta di una proposta, sulla quale la FTC ha invitato tutti i soggetti interessati a presentare commenti e osservazioni. Sono previsti, inoltre, tre giorni dedicati ad un dibattito pubblico sulle questioni ed i problemi sollevati dalla proposta descritta (5-7 giugno 2002). Fra le altre misure previste, anche l´estensione delle competenze della FTC in questo settore al controllo sulle attività delle associazioni senza fini di lucro. Al momento, infatti, l´attività di queste associazioni non è soggetta al controllo della FTC. La situazione non cambierebbe con le nuove disposizioni, però la FTC potrebbe intervenire nei confronti di società aventi fini di lucro che mettano in atto pratiche ingannevoli per sollecitare telefonicamente offerte a favore di vere o presunte associazioni no-profit. Si tratta di una delle conseguenze della recente approvazione dell´USA PATRIOT Act, le norme anti-terrorismo che inaspriscono i controlli interni.

Va sottolineato, infine, che la proposta della FTC prevede anche il divieto di fornire a o ricevere da soggetti terzi informazioni sui pagamenti o le fatture di un determinato consumatore per utilizzarle in attività di marketing telefonico, nonché il divieto di bloccare o impedire la visualizzazione del nominativo e/o del numero di telefono del chiamante sul display del soggetto che riceve la chiamata.