Newsletter 24 - 30 aprile 2000

• Internet: verbali e deliberazioni della P.A. in Rete.
• Via libera del Garante alla banca dati delle aziende agricole.
• Usa: una nuova legge sulla privacy dei siti per minori.

Internet: verbali e deliberazioni della P.A. in Rete

Le pubbliche amministrazioni possono pubblicare via Internet i verbali, le deliberazioni ed altri atti ufficiali riguardanti la propria attività. Per i provvedimenti che contengono dati personali relativi a terzi, serve tuttavia una norma, anche di regolamento, che definisca l´ambito di diffusione dei dati nel rispetto del diritto alla riservatezza, come avviene ad esempio in alcune disposizioni che disciplinano, anche su un piano generale, la pubblicità di determinati atti (es., pubblicazione di atti nell´albo pretorio).

Le amministrazioni potrebbero anche rendere note in altro modo notizie relative alla propria attività, avvalendosi delle disposizioni della legge n. 675/1996 che riguardano l´attività giornalistica e di manifestazione del pensiero e che prevedono, anche in collegamento con l´apposito codice di deontologia già emanato, alcune garanzie a tutela degli interessati. Quest´ultima possibilità può essere peraltro utilizzata anche da singoli componenti di organismi che, senza violare l´eventuale segreto d´ufficio, mettano loro stessi in circolazione, anche via Internet, resoconti non ufficiali di riunioni, iniziative e attività.

I due principi sono stati riaffermati dal Garante in un parere fornito su richiesta del presidente del Consiglio universitario nazionale (CUN) che aveva posto un quesito sulla legittimità della prassi, seguita da alcuni componenti, volta a trasmettere, per posta elettronica, resoconti e notizie sui lavori e sulle decisioni assunte che venivano poi pubblicati su alcuni siti web.

L´Autorità ha innanzitutto rilevato che, perché le deliberazioni e gli atti ufficiali contenenti dati personali possano essere consultati via Internet, vanno osservate le generali disposizioni che disciplinano il regime di pubblicità degli atti e dei documenti delle amministrazioni pubbliche nel rispetto delle norme che tutelano la privacy. Tali norme prevedono particolari cautele per i dati c.d. "sensibili" ed anzi pongono anche un divieto assoluto per la diffusione di quelli idonei a rivelare lo stato di salute (si potrà procedere quindi eventualmente ad "oscurare" alcuni riferimenti a dati del genere).

Inoltre in generale il nuovo comma 3 bis dell´art. 22 della legge 675 ha previsto che le pubbliche amministrazioni, in assenza di precise disposizioni di legge sul trattamento dei dati sensibili, debbano disciplinare in appositi regolamenti i tipi di dati trattati e la loro possibile utilizzazione.

Per quanto riguarda, invece, la diffusione via Internet di resoconti non ufficiali e di notizie sull´attività del Consiglio universitario nazionale, l´Autorità ha stabilito che si tratta di un´attività lecita che rientra nei trattamenti temporanei finalizzati alla pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero, cui si applicano le stesse disposizioni previste per l´esercizio dell´attività giornalistica.

Nel caso in questione, quindi, l´utilizzo e la divulgazione delle informazioni può avvenire senza il consenso della persona interessata e la preventiva autorizzazione del Garante, ma è necessario rispettare i limiti al diritto di cronaca previsti a tutela della riservatezza e della dignità delle persone dalla legge e dall´apposito codice deontologico.

Tra gli obblighi da osservare vi è, quindi, anche quello che impone di raccogliere i dati personali in modo lecito.

Questo principio, osserva l´Autorità, non è stato violato dai componenti del consiglio universitario cui si riferisce il quesito poiché le informazioni e le notizie, oggetto di pubblicazione, sono stati predisposti sulla base di appunti presi durante le riunioni e non riguardano aspetti coperti da segreto.

Via libera del Garante alla banca dati delle aziende agricole

Le pubbliche amministrazioni potranno accedere ai dati contenuti nell´anagrafe delle aziende agricole ma il trattamento delle informazioni dovrà avvenire nel rispetto dei principi previsti dalla legge sulla privacy. Ulteriori limiti all´accesso potranno, inoltre, derivare dalle disposizioni riguardanti la tutela delle notizie tratte da indagini statistiche.

Lo ha stabilito il Garante in un parere fornito su richiesta del Ministero dell´industria in merito ad uno schema di decreto interministeriale che disciplina le modalità di acquisizione e di aggiornamento delle informazioni da inserire nel repertorio delle notizie economiche e amministrative (Rea) riguardanti gli esercenti le attività agricole.

Il provvedimento si inserisce nel più ampio contesto delle disposizioni adottate per valutare i costi di produzione e di rafforzamento delle imprese agricole registrate in apposite banche dati che fanno capo al Sistema informativo agricolo nazionale.

Rilevato che lo schema di decreto risponde, nel complesso, alla disciplina sulla protezione dei dati personali l´Autorità ha chiesto al Ministero dell´industria di apportare alcune modifiche volte, in primo luogo, ad individuare il tipo di informazioni che potranno essere acquisite dalla banca dati del Rea.

Tra queste ha sottolineato l´Autorità, rientrano certamente le informazioni riguardanti le persone, i beni o gli atti certificativi che provengono da registri, elenchi o documenti pubblici, mentre restano escluse dalle operazioni di acquisizione dei dati le ulteriori informazioni raccolte a fini statistici.

Queste ultime, infatti, sono sottoposte ad un particolare regime di tutela (previsto dal decreto legislativo. n. 281/99) che il Garante ha chiesto di citare espressamente nel decreto.

L´Autorità ha, infine, sottolineato l´esigenza che il trattamento delle informazioni destinate a confluire nella banca dati del Rea sia sottoposto all´adozione delle misure minime di sicurezza (identificazione dell´utente, uso di password, autorizzazione all´accesso alle funzioni, registrazione degli ingressi etc.) previste dal regolamento governativo n. 318/99 ora interessato da una proposta di proroga in discussione alla Camera dei Deputati.

Usa: una nuova legge sulla privacy dei siti per minori
(Articolo pubblicato sul New York Times on the Web del 18 aprile)

La prima legge federale relativa alla privacy nel cyberspazio entra in vigore venerdì 21 aprile; a partire da tale data, i siti Web che raccolgono dati personali dovranno iniziare ad organizzarsi per ottenere l´autorizzazione dei genitori prima di chiedere dati personali a bambini di età inferiore ai 13 anni.

Legislatori, autorità di regolamentazione, difensori della privacy, società operanti sul Web e utenti di Internet guarderanno con grande attenzione all´introduzione del Children´s Online Privacy Protection Act (Legge sulla tutela della privacy online dei minori n.d.r.), per capire se sia efficace, in che modo cambierà il rapporto con il Web dei piccoli navigatori, e se norme analoghe dovrebbero trovare applicazione anche per quanto riguarda i teenager o, addirittura, gli adulti.

La Federal Trade Commission ha scritto la norma in questione e avrà il compito di garantirne l´attuazione; per adesso ha lanciato un vero e proprio blitz mediatico, sia online che offline, allo scopo di sensibilizzare genitori, minori e gestori di siti Web rispetto alla nuova legge.

La legge che entra in vigore venerdì prossimo è stata approvata due anni orsono, dopo che un´indagine condotta dalla FTC aveva mostrato un panorama generalmente desolante per quanto concerneva la tutela della privacy online. Il testo prevede che tutti i siti Web che raccolgono dati personali da minori di età inferiore ai 13 anni debbano presentare una chiara indicazione della politica seguita in materia di privacy – in cui siano specificate le modalità di utilizzazione dei dati. Inoltre, i siti dovranno ottenere il consenso "documentabile" dei genitori prima di raccogliere dati personali di qualsiasi natura.

E´ previsto che, almeno per i prossimi due anni, le metodologie utilizzate per ottenere il consenso dei genitori possano differenziarsi in rapporto alla quantità di dati personali raccolti dai singoli siti. Si è scelto questo approccio per facilitare la familiarizzazione delle imprese con la nuova normativa, in modo da evitare modifiche costose e consistenti delle procedure operative seguite.

Ad esempio, i siti Web dovranno ricorrere a strumenti più affidabili per ottenere il consenso (indirizzo postale, numero di fax, numero della carta di credito o firme digitali a prova di falsificazione) prima di permettere a minori di partecipare a gruppi di discussione o di fornire dati personali che potranno essere comunicati a terzi. Per quanto riguarda invece le informazioni utilizzate esclusivamente dal sito Web che le raccoglie, sarà sufficiente che il gestore riceva un´e-mail del genitore – purché le singole imprese adottino misure ulteriori per ottenere conferma dell´identità di tale genitore, ad esempio inviando un altro messaggio e-mail oppure attraverso una chiamata telefonica.

Molte grandi società, come la Disney, seguono regole del genere fin da quando è iniziato il dibattito parlamentare sul progetto di legge in materia di privacy. Saranno le società più piccole, e quelle che offrono giochi online a titolo gratuito ed altre forme di intrattenimento in cambio di dati personali, a risentire in misura maggiore della nuova normativa.

Anche se sostanzialmente si concorda sul fatto che la FTC abbia prodotto un testo legislativo equo ed equilibrato, che lascia alle imprese una certa flessibilità nella creazione di sistemi per informare adeguatamente i genitori durante i prossimi due anni, vi è chi prevede che la nuova legge limiterà le attività online accessibili ai minori.

"Ci saranno problemi", ha affermato Bart Lazar, un legale di Chicago che ha difeso la società Geocities dall´accusa della FTC di avere violato il codice di autoregolamentazione in materia di privacy. "Ci sono molti siti Web che stanno investendo grosse somme per aggiornare le procedure di registrazione e di utilizzazione delle informazioni – e molti stanno anche valutando se continuare o meno a rivolgersi ai minori."

"Sono convinto che la legge avrà o potrà avere effetti collaterali del tutto inattesi e involontari, per cui chi vorrà offrire attività piacevoli o interessanti sul Web finirà per sottrarvisi del tutto", ha dichiarato Lazar.

Secondo Parry Aftab, un avvocato di New York che rappresenta vari siti Web per minori, le imprese dovranno sborsare fra i 50.000 e i 60.000 dollari all´anno per gestire un numero verde che servirà per verificare le e-mail inviate da genitori – una somma che per un´impresa giovane e di piccole dimensioni può fare tutta la differenza fra il successo e il fallimento.

Tuttavia, Kathryn Montgomery, amministratore delegato del Center for Media Education, ha definito la legge "un equo compromesso".

"Se si vogliono far soldi attraverso i bambini, non bisognerebbe però approfittarsene", ha dichiarato.

La nuova legge entra in vigore mentre legislatori, imprese operanti su Internet e difensori della privacy attendono i risultati di una nuova indagine sulla privacy nel Web da parte della FTC – un´indagine dalla quale potrebbe dipendere l´atteggiamento del Congresso rispetto alla proposta di estendere queste nuove forme di tutela della privacy anche agli adulti.

La legge sui minori è stata approvata nel 1998, dopo che la prima indagine condotta dalla FTC aveva indicato che l´89% dei siti Web raccoglievano dati personali da minori, mentre solo il 24% presentava in modo chiaro la propria politica in materia di privacy, e soltanto l´1% chiedeva ai minori di ottenere l´autorizzazione dei genitori prima di inviare dati che li riguardavano.

L´indagine condotta dalla FTC sui comportamenti adottati dai siti Web che raccolgono informazioni personali da adulti ha delineato un quadro sostanzialmente analogo, ma la Commissione ha raccomandato al Congresso di concedere più tempo alle imprese per darsi delle regole in questo settore. Un´indagine di follow-up condotta nel 1999 ha mostrato qualche miglioramento, ed una terza è tuttora in corso. I risultati saranno presentati al Congresso il mese prossimo. Buona parte della normativa attualmente all´esame del Congresso prevede norme che regolamentano la privacy degli adulti, ma alcuni gruppi (come il Center for Media Education) spingono per l´introduzione di norme speciali riferite agli adolescenti.

Su questo punto concordano molti genitori e molti adolescenti, secondo uno studio (di prossima pubblicazione) di Joseph Turow, professore all´University of Pennsylvania´s Annenberg School of Communications.

Turow ha dichiarato che un´indagine telefonica condotta su 300 minori di età compresa fra 10 e 17 anni, selezionati su base casuale, e sui rispettivi genitori ha mostrato che il 96% dei genitori ritiene opportuna l´introduzione di analoghe forme di tutela anche per gli adolescenti (13-17 anni). Secondo il 75% dei giovani intervistati i genitori dovrebbero ricevere un qualche tipo di informativa.

Montgomery concorda sull´opportunità di estendere la normativa anche ai minori di età superiore a 13 anni, e il gruppo di ricerca di cui fa parte, con sede a Washington, ha sostenuto una battaglia in tal senso fin dall´inizio del dibattito legislativo. Tuttavia, insieme a Deirdre Mulligan, avvocato che opera presso un altro organismo non-profit di Washington, il Center for Democracy and Technology, sottolinea che qualsiasi forma di tutela dei minori adolescenti dovrebbe avere natura diversa, perché ad essi dovrebbe essere garantita una tutela rafforzata della libertà di espressione in modo da poter ricercare dati e informazioni senza che i genitori ne siano necessariamente a conoscenza.

"Bisogna evitare in tutti i modi che nel tentativo di garantire la privacy, si creino ostacoli proprio per la privacy", ha dichiarato Deirdre Mulligan.