Dati personali in Internet, trattamento e tutela - (parte II)

...(continua)...

Oltre l'informativa, il consenso

Una dettagliata e chiara informativa non è tuttavia sufficiente ai sensi degli obblighi di legge. Occorre ottenere l'espresso consenso dell'interessato al trattamento dei dati. (art.11). Vi sono solo alcune eccezioni a tale norma elencate nell'art.12.

Tale consenso, per avere valore legale, dovrà essere:

- riferito in modo specifico all'intero trattamento o ad una o più finalità dello stesso

- espresso in modo esplicito e libero

- in forma specifica e documentata per iscritto (in Internet si accetta il clic sulla casella di scelta come forma valida di consenso)

- successivo alla visione dell'informativa

Inoltre secondo il D.legislativo 171/98, art.10, per inviare messaggi commerciali tramite posta elettronica o SMS, occorre un'ulteriore richiesta all'interessato, posta in modo separato da altri moduli di consenso.

Tale atteggiamento della legge italiana è spesso riassunto nei termini opt-in, da opporre a opt-out, parole che indicano l'atteggiamento opposto cui fa riferimento la normativa di molti stati esteri, anche nell'unione europea: il trattamento dei dati personali è, in questo caso, liberamente consentito fino a quando non sia l'interessato ad opporvisi. Questo atteggiamento vorrebbe in qualche modo favorire le nuove tecniche di comunicazione come il direct-marketing o l'e-mail-marketing, pur condannando la "cattiva comunicazione" (spam). Ma come evitare che ad una "buona comunicazione" faccia seguito anche il suo opposto? Come proteggere in questo caso il diritto alla riservatezza degli utenti? A tali domande non vi sono per ora chiare risposte.

Una volta che il titolare sia entrato in possesso dei dati personali dei propri utenti e clienti, secondo la legge è anche obbligato a garantirne la sicurezza soprattutto nel caso dei cosiddetti dati sensibili (razza, etnia, convinzioni politiche o religiose, stato di salute…) e di dati molto delicati come i numeri di carta di credito dei consumatori.

Quali siano le misure da adottare in Internet per garantire tale tutela è ancora argomento molto discusso e controverso. La legge 675/96, che in assenza di norme precise trova applicazione, anche in questo frangente, nel mondo telematico, impone misure di sicurezza che siano idonee ed aggiornate indicandole come "misure minime di sicurezza" secondo quanto indicato nel regolamento emanato con D.P.R. n. 318 del 28/7/1999 (regolamento aggiornato ogni due anni circa dal 1988).

L'esegesi di tale regolamento è operazione alquanto difficile. L'impressione che se ne trae è quella di una scarsa conoscenza del mondo della rete e dei relativi problemi di sicurezza, e di una sostanziale incapacità nel fornire agli operatori (anche ai più volenterosi) norme chiare e comprensibili. Il risultato? Le misure minime spesso diventano nulle.

La soluzione proposta nel caso di dati scambiati in Internet sembra essere sostanzialmente quella di utilizzare password, codici identificativi e antivirus (art.3-4) da aggiornare semestralmente, lo stesso avviene per i dati scambiati in rete aziendale (art.2); salvo poi mantenere un elenco di password presso i dirigenti aziendali e comunicare all'azienda gli eventuali mutamenti di parola chiave da parte dei dipendenti. E se anche un solo PC delle rete aziendale è collegato ad un modem, quali dovranno essere, in questo caso, le misure di sicurezza?

Lo stesso regolamento prevede anche l'obbligo di redigere un documento programmatico sulla sicurezza (art.6), in cui sia valutato il grado di rischio secondo i dati trattati e l'attività svolta per individuare le misure che meglio assicurino la tutela dei dati raccolti. Nel documento saranno inoltre indicati i criteri seguiti, le misure adottate e le istruzioni scritte agli incaricati.

Tale operazione può essere molto utile, oltre che per una migliore gestione della sicurezza del proprio sito o della propria azienda, anche in caso di controversie dato che la legge prevede, per i titolari inadempienti, sanzioni penali, con pene che variano dai due mesi ai due anni di reclusione (L.675/96 art.36)

La normativa, in conclusione, è ancora troppo frammentaria per fornire un quadro legislativo facilmente individuabile. Le applicazioni della legge dipenderanno quindi dalle singole interpretazioni nei singoli casi, dalle decisioni giudiziarie e, forse, dagli interventi del Garante.

Per una vera sicurezza, dunque, c'è ancora da aspettare.