La
notificazione dei trattamenti di dati personali
da parte degli Internet provider
Prima parte - 26.02.98
(Seconda
parte - Terza
parte - Quarta
parte: istruzioni per l'installazione e la compilazione
del modulo in formato digitale - Quinta parte: FAQ))
Manca poco più di un mese
alla data del 31 marzo, la prima scadenza per la
notificazione al Garante dei trattamenti di dati
personali. Per gli operatori di Internet la compilazione
dell "740 della privacy" presenta alcuni
problemi di non semplice soluzione, come dimostrano le
numerose e-mail che giungono in questo periodo.
La situazione è aggravata dal fatto che la legge
675/96 detta
regole generali, che non solo non tengono conto degli
aspetti specifici delle attività telematiche, ma in
alcuni punti sembrano scritte apposta per rendere ancora
più difficile il rispetto delle norme da parte degli
Internet provider. Tanto che la legge-scialuppa
676/96 prevede che
il Governo emani un apposito decreto legislativo, che
però non compare ancora all'orizzonte. E' necessaria
quindi una attenta interpretazione della legge generale
per trovare gli elementi utili per essere in regola, con
il rischio di individuare soluzioni che il Garante
potrebbe non accettare o che si potrebbero rivelare
incompatibili con la futura disciplina del settore.
Un altro problema, che però potrebbe essere superato
prima del 31 marzo, deriva dal ritardo nell'emanazione
del regolamento sulla sicurezza previsto dall'articolo 15
della legge: nella notifica devono essere indicate, sulla
base di un elenco molto dettagliato, le misure adottate
per la sicurezza dei dati, ma al momento non è possibile
sapere quali siano obbligatorie e quali no. Con la poco
piacevole prospettiva di dover rifare la notificazione -
e, soprattutto, di dover cambiare le misure già adottate
- dopo l'emanazione del regolamento.
L'Associazione Italiana
Internet Providers (AIIP) ha chiesto al Garante un
incontro per mettere a fuoco i punti che suscitano le
maggiori incertezze, incontro che dovrebbe realizzarsi
prima della metà di marzo. Dei risultati daremo
tempestivamente conto su queste pagine, mentre in questo
primo articolo cerchiamo di mettere a punto i principali
aspetti del trattamento dei dati personali da parte degli
operatori di Internet.
"Titolari"
e "incaricati" del trattamento
Partiamo
dall'identificazione dei soggetti che, a seconda dei
casi, possono essere titolari o incaricati
del trattamento. In alcuni casi possono essere designati
anche come responsabili.
I titolari sono obbligati a presentare la notificazione,
che deve essere sottoscritta anche dai responsabili, se
ci sono. Gli incaricati non devono presentare la
notificazione, ma devono ricevere dai titolari o dai
responsabili dettagliate istruzioni sulle modalità del
trattamento. Esamineremo più specificamente questi
aspetti in un prossimo articolo.
Ora è necessario rispondere a una prima domanda:
"chi fa cosa", cioè dobbiamo capire chi sono i
soggetti che trattano dati personali e quali disposizioni
della legge 657/96 si possano applicare ai diversi tipi
di trattamento (informazioni più dettagliate sono
comprese nella seconda parte di questa trattazione).
1. Fornitori di
accessi a Internet: sono gli operatori che
offrono agli utilizzatori finali l'accesso alla Rete.
Questi soggetti sono titolari del
trattamento dei dati relativi ai propri abbonati,
trattamento che rientra nelle previsioni generali della
legge 675 e non sembra sollevare problemi particolari.
Ma, nello stesso tempo, sono incaricati
del trattamento dei dati che vengono immessi nella Rete
dagli abbonati, in quanto provvedono materialmente alla diffusione
dei dati (articolo 1, comma 2, lettera h). Questa diffusione
rientra nella previsione dell'articolo 28, comma 1 (trasferimento di dati personali
all'estero diretto verso un paese non appartenente
all'Unione europea) e, secondo la normativa generale,
deve essere notificato al Garante e non può avvenire
prima che siano trascorsi quindici giorni dalla
notificazione (tralasciamo, per ora, i dati
"sensibili").
2. Fornitori di hosting
e di housing. I primi
sono gli operatori che ospitano sulle loro macchine
"siti" di altri soggetti, i secondi forniscono
invece solo lo spazio fisico per l'installazione delle
macchine dei clienti. E' chiaro che i soggetti ospitati
sono titolari dei rispettivi
trattamenti, mentre la situazione degli ospitanti deve
essere valutata con attenzione.
Nel primo caso (hosting) è presente una forma
di elaborazione delle informazioni indispensabile per la
diffusione dei dati che, a prima vista, potrebbe essere
qualificata come "trattamento" (articolo
1, comma 2,
lettera b). Questo porterebbe a classificare l'ospitante
come incaricato del trattamento, ma
questa elaborazione non riguarda i dati in quanto tali,
perché consiste in una serie di operazioni tecniche
"a basso livello" che assolutamente non
intervengono sui contenuti, cioè, non consistono in un
trattamento "sostanziale" delle informazioni.
Dunque il fornitore di hosting non sarebbe
tenuto ad alcun adempimento, mentre il titolare del
trattamento dovrebbe indicare nella notificazione la sede
del fornitore come "luogo ove sono custoditi" i
dati (articolo 7, comma 4, lettera c).
Più semplice è la situazione del fornitore di housing:
qui viene concesso solo lo spazio fisico per
l'installazione delle macchine e quindi non ci sono dubbi
sul fatto che si tratta semplicemente del luogo ove sono
custoditi i dati, da indicare nella notificazione a cui
è tenuto il titolare "ospitato".
3. Fornitori di
contenuti: sono i soggetti che producono i
contenuti che vengono immessi nella Rete e quindi
rientrano nella categoria dei titolari
dei trattamenti. Ma è necessario distinguere tra diverse
categorie di fornitori di contenuti:
a) fornitori
di servizi - per esempio operatori del
commercio elettronico;
b) fornitori
di informazioni, cioè di contenuti in cui
l'informazione costituisce il bene oggetto di
diffusione, ma tra questi ultimi si deve operare
un'ulteriore distinzione:
b1) fornitori di
informazioni "generici"
b2) organi
di stampa, cioè fornitori di
informazioni provvisti di particolari requisiti e
iscritti nei registri dei tribunali secondo la
normativa sulla stampa periodica;
b3) abbonati
che per contratto dispongono di "spazi
Web" e quindi possono diffondere dati
personali in via occasionale.
Ogni categoria è soggetta
alle norme generali della legge 675/96 per i trattamenti
che svolge. Di fatto i fornitori di servizi
trattano dati personali di clienti e fornitori
nell'ambito di rapporti contrattuali e a questo devono
fare riferimento nelle notificazioni al Garante. Nei casi
in cui trattino anche i dati sensibili (articolo 22 e articolo 24) devono richiedere
l'autorizzazione.
Si pone qui il problema, comune a tutte le attività su
Internet, che i dati immessi nella rete sono
automaticamente "trasferiti (anche)
all'estero": se si tratta di dati
"comuni", cioè diversi da quelli previsti
dagli articoli 22 e 24, il trasferimento non può
avvenire prima che siano trascorsi quindici giorni dalla
notificazione, ma è in ogni caso permesso se
l'interessato ha espresso il suo consenso o se "sia
necessario per l'esecuzione di obblighi derivanti da un
contratto del quale è parte l'interessato o per
l'acquisizione di informative precontrattuali attivate su
richiesta di quest'ultimo, ovvero per la conclusione o
per l'esecuzione di un contratto stipulato a favore
dell'interessato" (articolo 28, comma 4, lettera b). Se invece si tratta
dei dati elencati dagli articoli 22 e 24 è necessario il
consenso scritto dell'interessato, come prescrive il
comma 4, lettera a). L'articolo prevede anche, alla
lettera g), che il trasferimento possa essere autorizzato
dal Garante "sulla base di adeguate garanzie per i
diritti dell'interessato, prestate anche con un
contratto".
Passiamo ai fornitori
di informazioni che, come abbiamo visto, possono
essere suddivisi in tre categorie, distinguendo tra
fornitori "semplici" (in pratica la stragrande
maggioranza dei siti Web) e "periodici
telematici", iscritti nei registri della stampa. Per
questi ultimi non ci dovrebbero essere problemi, perché
rientrano senza dubbio nella previsione dell'articolo 25 e dovranno agire anche nel rispetto del
codice deontologico (la situazione, come abbiamo visto
recentemente in "Stampa e riservatezza: è urgente
modificare l'articolo 25", con ogni probabilità dovrà essere
chiarita con un decreto legislativo).
Più complessa è la questione per gli altri fornitori di
informazioni, che sono evidentemente soggetti alla
normativa generale, sempre con i problemi derivanti dalle
previsioni dell'articolo 28 e quindi con le limitazioni
già viste per il trasferimento dei dati personali
all'estero.
Ci sono poi gli abbonati che utilizzano gli spazi Web
messi a disposizione dai fornitori di accesso. Questa
attività può essere compresa nella previsione
dell'articolo 2, comma 2 del decreto
legislativo n. 123 del 9 maggio 1997 in quanto "trattamenti
temporanei finalizzati esclusivamente alla pubblicazione
o diffusione occasionale di articoli, saggi e altre
manifestazioni del pensiero", ai quali si estende la
disciplina per le attività giornalistiche dettata
dall'articolo 25.
Qui però sorge un dubbio: per la legge 675/96 questo è
"trattamento" di dati a tutti gli effetti, come
per la raccolta e la diffusione di informazioni sulle
persone in ambito giornalistico, e quindi tutti
dovrebbero presentare la notificazione al Garante, sia
pure in forma semplificata (ma con l'indicazione del
trasferimento all'estero anche verso paesi non
appartenenti alla UE). Di fatto, seguendo la lettera
della legge, tutti i soggetti che utilizzano spazi Web e
vi inseriscono "qualunque informazione relativa a
persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra
informazione..."(articolo
1, comma 2,
lettera c) dovrebbero presentare la notificazione e
seguire anche le prescrizioni per il trasferimento dei
dati all'estero. Il che appare, a dir poco, eccessivo.
Per inciso, nelle polemiche sull'articolo 25 e sul codice
deontologico dei giornalisti sembra che nessuno si sia
accorto che anche la stampa cartacea (per non parlare
della radio e della televisione) compie sistematicamente
"trasferimento dei dati all'estero", con tutte
le implicazioni del solito articolo 28.
Prime conclusioni
All'epoca dell'entrata in
vigore della legge avevamo provocatoriamente osservato
che le disposizioni dell'articolo 28 erano tali da
determinare la fine dell'attività degli Internet
provider (vedi "La legge 675/96 vieta Internet?" e Internet chiude?).
E' pacifico che un'ipotesi del genere non passa per la
testa del Garante, ma è altrettanto pacifico che non
può tollerare esplicite violazioni della normativa.
Nell'attesa del previsto decreto legislativo sono quindi
necessarie e urgenti precise indicazioni che consentano
agli operatori di essere in regola, senza adempimenti
eccessivamente gravosi. Potrebbe anche essere utile
un'autorizzazione generale, con le necessarie
limitazioni, per la previsione dell'articolo 28, comma 4,
lettera g), a meno che non si dia un'interpretazione
della norma nel senso che essa non è operante prima
dell'entrata in vigore del decreto legislativo relativo
al trattamento dei dati nei servizi telematici.
Aspettiamo dunque le
indicazioni del Garante.
(M.C.)
|
Pagina stampabile
