La
notificazione dei trattamenti di dati personali
da parte degli Internet provider
Terza parte - 12.03.98
(Prima
parte - Seconda
parte - Quarta
parte: istruzioni per l'installazione e la compilazione
del moduloin formato digitale - Quinta parte: FAQ)
Nota: Il contributo amministrativo
deve essere versato sul conto corrente postale n.
97204002 intestato a "Garante per la protezione dei
dati personali"
Questa è la
terza e ultima parte (almeno per ora) dell'analisi della
notifica dei trattamenti dei dati personali da parte
degli Internet provider. Avrebbe dovuto essere scritta
dopo l'incontro tra il Garante e l'Associazione italiana
Internet providers, ma l'incontro non è ancora avvenuto.
Andiamo avanti lo stesso, perché la scadenza rimane
quella del 31 marzo, per tutti i trattamenti iniziati
prima del 31 dicembre 1997, nonostante il fatto che la
normativa sia incompleta, sia per quanto riguarda le
disposizioni specifiche per il settore telematico, sia
per quanto riguarda le misure minime di sicurezza.
Infatti deve essere emanato un decreto legislativo ai
sensi della legge 676/96 e manca ancora il regolamento
sulle misure minime di sicurezza, previsto dall'articolo
15, comma 2 della legge 675/96, atteso dai primi di
novembre 1997).
Ricordiamo, per inciso, che la notificazione formale è
quella su carta, dove vengono apposte le firme autografe
dei titolari e degli incaricati del trattamento; il
dischetto serve solo a rendere più rapido l'input dei
dati da parte dell'ufficio del Garante.
Vediamo ora,
un quadro dopo l'altro, il modulo. Partiamo, come è ovvio, dal frontespizio,
dove incontriamo subito il punto più delicato di tutta
la questione. Dopo aver barrato le caselle Notificazione
ordinaria e Prima notificazione, l'Internet
provider deve mettere la crocetta sulla casella La
notificazione riguarda anche il trasferimento di dati
all'estero (art. 28 legge 675/1196). Vedremo più
avanti le implicazioni di questo particolare.
Si incomincia
con il quadro a) titolare, dove è
opportuno indicare, nella casella sottostante il riquadro
soggetto privato e ente pubblico economico, il codice
100 (altro) e dopo il Nome,
denominazione o ragione sociale, la categoria, che
dovrebbe essere fornitore di servizi di
telecomunicazioni nel caso di un fornitore
di accesso.
Passiamo al quadro
b), luoghi ove sono custoditi i dati, che chiede
di indicare in caso di trattamenti automatizzati,
l'ubicazione delle memorie dell'elaboratore (o degli
elaboratori) sul quale ( o sui quali) sono registrati i
dati personali; ai fini della notificazione, quindi, non
vanno considerati i luoghi ove sono ubicati i terminali
collegati con tali memorie.
Sembra ovvio, invece è sbagliato. Perché le
"memorie", come sa chiunque abbia bazzicato
qualche ora su Internet, possono trovarsi dovunque, anche
dall'altra parte del globo terracqueo, ma quello che
conta è la password di chi è autorizzato ad accedervi
o, se proprio vogliamo restare attaccati allo hardware,
il luogo dove si trova il terminale abilitato
all'accesso.
Comunque facciamo finta di niente e indichiamo i luogo o
i luoghi dove si trovano i dischi rigidi che contengono i
dati oggetto di trattamento.
Eccoci al quadro
c) ambito di comunicazione e diffusione dei dati.
Barrare le tre caselle nazionale - Unione europea -
altri paesi e l'ultima dell'elenco, altro,
indicando alla riga successiva: Internet.
Troviamo ora
quello che forse è il punto più critico, il quadro
d) descrizione generale delle misure adottate per la
sicurezza dei dati. Il comma 4, lettera f)
dell'articolo 7 prescrive che la notifica contenga
"una descrizione generale che permetta di valutare
l'adeguatezza delle misure tecniche ed organizzative
adottate per la sicurezza dei dati", senza alcun
riferimento al regolamento sulle "norme minime"
previsto dall'articolo 15, comma 2. Il modulo presenta
tre caselle: trattamento automatizzato - trattamento
non automatizzato - le misure adottate sono
graduate per classi di dati e tre elenchi: misure organizzative,
fisiche e logiche, senza che sia
possibile, per il titolare, sapere quali misure siano da
considerarsi minime, e per il Garante quali misure siano
state adottate per quali dati. L'incertezza per il
titolare non è irrilevante, perché ci sono di mezzo le
sanzioni penali. Quindi è bene riempire la casella Precisazioni
utili, cercando di soddisfare la prescrizione
dell'articolo 7, comma 4. lettera f).
Il quadro
e) cessazione del trattamento per ora non ci
interessa e quindi passiamo al quadro f)
responsabile. Qui devono essere indicate le
generalità del responsabile del trattamento, se è
nominato o i dati della struttura esterna eventualmente
delegata al trattamento. Ricordiamo che il fornitore di
accesso o di hosting può essere responsabile o
incaricato del trattamento di dati il cui titolare sia un
fornitore di contenuti, e che quest'ultimo deve indicare
la circostanza nella propria notificazione. In ogni caso
il responsabile e l'incaricato devono ricevere istruzioni
scritte dal titolare.
La
compilazione del quadro g) notizie volte a
facilitare i rapporti con il titolare non è
obbligatoria. Chi volesse compilarla tenga presente che
per servizi, organismi, persone fisiche e giuridiche
preposte ai trattamenti sembra che si debbano
intendere gli incaricati del trattamento.
Il quadro h)
persone fisiche che sottoscrivono la notificazione: - in
forma semplificata - per la cessazione del trattamento
va saltato, perché per il trattamento di dati con
diffusione su Internet è richiesta la notificazione
ordinaria.
Tutti
i quadri successivi richiedono di volta in volta
l'inserimento di codici, da ricavare dagli allegati, o di
barrare alcune caselle. Non c'è altro da fare che
armarsi di pazienza e rispondere a tutti i quesiti.
Un'annotazione particolare richiede il quadro o)
banca o banche dati cui si riferisce il trattamento.
Nella prima parte devono essere indicati i diversi
archivi, senza dimenticare quelli dei LOG, gli eventuali
elenchi degli abbonati accessibili al pubblico eccetera.
Nella seconda parte si deve indicare se i trattamenti
sono "connessi" con altri trattamenti o banche
dati, e se questi trattamenti o banche dati si trovano
all'estero. Qui il problema è complicato, perché non è
chiaro quale possa essere la natura della
"connessione". Il fatto è che qualsiasi dato
diffuso via Internet è fatalmente connesso con una
miriade di altri trattamenti, se non altro perché tutti
i siti sono costantemente interrogati dai "motori di
ricerca" che alimentano le rispettive banche dati,
sia perché ogni volta che un terzo inserisce in una sua
pagina un link a una pagina del notificante si ha una
connessione tra trattamenti, in senso tecnico. E' quindi
opportuno indicare nelle caselle tutte le aree
geografiche elencate alla fine dell'allegato d).
E così
torniamo al punto di partenza: nel momento stesso in cui
l'Internet provider inserisce nella notificazione le
informazioni relative al trasferimento dei dati
all'estero, o la connessione con trattamenti che si
svolgono all'estero, si trova in una posizione
"irregolare" ai sensi dell'articolo 28. Che dice:
(Trasferimento di dati personali all'estero)
1. Il trasferimento anche temporaneo fuori del territorio
nazionale, con qualsiasi forma o mezzo, di dati personali
oggetto di trattamento deve essere previamente notificato
al Garante, qualora sia diretto verso un Paese non
appartenente all'Unione europea o riguardi taluno dei
dati di cui agli articoli 22 e 24.
2. Il trasferimento può avvenire soltanto dopo quindici
giorni dalla data della notificazione; il termine è di
venti giorni qualora il trasferimento riguardi taluno dei
dati di cui agli articoli 22 e 24.
3. Il trasferimento è vietato qualora l'ordinamento
dello Stato di destinazione o di transito dei dati non
assicuri un livello di tutela delle persone adeguato
ovvero, se si tratta dei dati di cui agli articoli 22 e
24, di grado pari a quello assicurato dall'ordinamento
italiano. Sono valutate anche le modalità del
trasferimento e dei trattamenti previsti, le relative
finalità, la natura dei dati e le misure di sicurezza.
4. Il trasferimento è comunque consentito qualora:
a) l'interessato abbia manifestato il proprio consenso
espresso ovvero, se il trasferimento riguarda taluno dei
dati di cui agli articoli 22 e 24, in forma scritta;
b) sia necessario per l'esecuzione di obblighi derivanti
da un contratto del quale è parte l'interessato o per
l'acquisizione di informative precontrattuali attivate su
richiesta di quest'ultimo, ovvero per la conclusione o
per l'esecuzione di un contratto stipulato a favore
dell'interessato; (omissis).
Le
disposizioni sono chiare: per trasferire dati personali
(che si suppone non siano dati sensibili) fuori
dall'Unione europea è necessario attendere 15 giorni
dopo la notificazione (commi 1 e 2), mentre nel caso di
paesi che non assicurino un livello di tutela
"adeguato", c'è il divieto puro e semplice.
Considerando che via Internet la diffusione avviene verso
tutti i paesi del mondo e che non si può fermare il
trattamento per i quindici giorni prescritti dal comma 2,
si arriva al paradosso che tutti gli Internet provider
sono fuori legge.
Il che non significa, per fortuna, che corrano i rischio
di sanzioni penali. Infatti la normativa è incompleta
(per l'esplicita previsione di disposizioni speciali
contenuta nella legge 676/96), e nessuno può pretendere
che un soggetto si adegui a disposizioni... ancora
inesistenti.
Una via
d'uscita potrebbe essere trovata nel comma 4, assumendo
sia che con la sottoscrizione del contratto di
abbonamento l'interessato abbia manifestato il
proprio consenso espresso (si può inserire nel
contratto una clausola apposita), sia che la diffusione
di alcuni dati (come l'indirizzo e-mail, che è a tutti
gli effetti un dato personale) è necessaria per
l'esecuzione degli obblighi derivanti da contratto
stesso. Ma restano fuori i dati che attraverso il sistema
del notificante vengono diffusi da chi, come abbonato o
semplice utente, pubblica pagine Web o scrive a qualche newsgroup.
Questi soggetti possono essere considerati non obbligati
alla notificazione, ai sensi del comma 5-ter,
lettera n) dell'articolo 7. Ma tutto questo dovrebbe essere regolato
con chiarezza dal futuro decreto legislativo sulla tutela
dei dati nei servizi telematici.
Per ora non
resta che inviare la notificazione più completa
possibile (a mezzo di lettera raccomandata, posto che non
è ancora possibile la "raccomandata
telematica"), per evitare le sanzioni previste dall'articolo 34:
Omessa o infedele notificazione)
1. Chiunque, essendovi tenuto, non provvede alle
notificazioni prescritte dagli articoli 7 e 28, ovvero
indica in esse notizie incomplete o non rispondenti al
vero, è punito con la reclusione da tre mesi a due anni.
Se il fatto concerne la notificazione prevista dall'articolo 16, comma 1, la pena è della
reclusione sino ad anno.
(M.C.)
|
Pagina stampabile
