1. Nel documento di lavoro intitolato "Tutela della vita privata su Internet - Un approccio integrato dell'EU alla protezione dei dati on-line", del 21 novembre 2001, il Gruppo di lavoro ha evidenziato come sia importante garantire la messa in atto di strumenti adeguati per assicurare che l'utente Internet riceva tutte le informazioni necessarie affinché possa riporre la propria fiducia, con cognizione di causa, sui siti visitati e, se necessario, esercitare determinate scelte conformemente ai propri diritti come previsto dalla normativa europea. Tale fattore risulta particolarmente importante in considerazione del fatto che l'uso di Internet moltiplica le possibilità di raccolta di dati personali e, conseguentemente, i pericoli per i diritti fondamentali e le libertà degli individui, soprattutto per quel che riguarda la loro vita privata. Nel suo Parere n. 4/2000 del 16 maggio 2000 sul livello di tutela dei dati offerto dai principi dell'"approdo sicuro" (Safe Harbor), il Gruppo di lavoro ha invitato la Commissione a valutare con urgenza l'opportunità di creare un marchio di qualità per i siti Internet, che si basi su criteri comuni che potrebbero essere stabiliti a livello comunitario.

Questa raccomandazione fa seguito ai due documenti sopracitati. Essa intende contribuire all'effettiva ed omogenea applicazione delle disposizioni nazionali adottate in conformità alle direttive sulla tutela dei dati personali fornendo indicazioni concrete sull'attuazione delle norme contenute in tali direttive relativamente alle pratiche più comuni esercitate attraverso Internet. Tali pratiche si verificano soprattutto al momento del "contatto iniziale" tra l'utente Internet ed un sito Web sia nel caso di esclusiva ricerca di informazioni, sia nel caso di esecuzione di operazioni commerciali su base graduale.

Le indicazioni fornite di seguito riguardano in particolar modo la raccolta di dati personali su Internet e si prefiggono di identificare le misure che dovranno essere attuate nei confronti delle persone interessate per garantire la lealtà e la liceità di tali pratiche (applicazione degli articoli 6, 7, 10 e 11 della direttiva 95/46/CE). Tali indicazioni focalizzano in particolare sul come, quando e quali informazioni occorre fornire all'utente individuale, con l'aggiunta di dettagli pratici relativi a diritti ed obblighi risultanti da dette direttive.

Il principale obiettivo di questa raccomandazione consiste dunque nel fornire un concreto valore aggiunto all'attuazione dei principi generali della direttiva. Il Gruppo di lavoro considera la presente raccomandazione come la prima iniziativa per la presentazione a livello europeo dell'insieme "minimo" di obblighi ai quali i responsabili del trattamento (le persone fisiche o giuridiche responsabili del trattamento dati nell'ambito di un sito Web) che si occupano di siti Internet in cui vengono richieste informazioni particolareggiate o la specificazione del campo d'azione possano facilmente conformarsi. Certamente questa raccomandazione non esonera i responsabili del trattamento dall'obbligo attualmente vigente di verificare la conformità di tali trattamenti all'intera serie di requisiti e condizioni precisati nel diritto nazionale applicabile per renderlo legittimo, verifica senza la quale tale trattamento non risulta idoneo.

Tale raccomandazione si applica nel caso in cui il responsabile del trattamento abbia sede in uno degli Stati membri dell'Unione europea. In questa circostanza sarà applicato il diritto nazionale dello Stato membro in oggetto al trattamento dei dati personali che avvenga nel contesto delle attività di tale stabilimento. Tale raccomandazione si applica altresì quando il responsabile del trattamento non ha sede nel territorio della Comunità ma ricorre, ai fini del trattamento di dati personali, a strumenti automatizzati o non automatizzati situati nel territorio di uno degli Stati membri dell'UE. Tale trattamento è contemplato dalla legislazione nazionale dello Stato membro in cui si trovano i supporti tecnici o le risorse.

2. La raccomandazione, per poter conseguire tale obiettivo, è rivolta particolarmente:
- ai responsabili del trattamento che raccolgono dati on-line, dotandoli di una guida pratica che elenchi l'insieme minimo delle misure concrete da attuare;
- ai singoli utenti Internet affinché siano informati a riguardo e affinché possano esercitare i propri diritti;
- alle istituzioni desiderose di assegnare un'etichetta certificante la conformità delle procedure di trattamento impiegate alle direttive europee sulla protezione dei dati, dotandole di criteri di riferimento per l'assegnazione di tale etichetta riguardo alle informazioni da apporre e alla raccolta di dati personali. È ovvio che, al momento dell'assegnazione dell'etichetta, occorrerà tener conto di separati criteri concernenti altri obblighi e diritti oltre ai suddetti criteri di riferimento. Il Gruppo di lavoro pubblicherà successivamente un esauriente documento relativo a detta problematica
- alle autorità europee responsabili della protezione dei dati per poterle dotare di un quadro di riferimento comune per il loro compito di verifica della conformità alle disposizioni nazionali adottate dagli Stati membri, conformemente alle direttive sopracitate;

3. Il Gruppo di lavoro è inoltre del parere che tale raccomandazione dovrebbe servire da riferimento per la definizione dei criteri per software e hardware preposti alla raccolta e al trattamento di dati personali su Internet.

4. Qualsiasi raccolta di dati personali individuali ottenuta attraverso un sito Web richiede l'anticipata fornitura di determinate informazioni. In termini di contenuto la conformità a tale obbligo rende necessario:

5. menzionare l'identità, l'indirizzo fisico e quello elettronico del responsabile del trattamento e, ove possibile, quello dell'eventuale rappresentante in forza all'articolo 4.2 della direttiva;

6. menzionare chiaramente la/le finalità del trattamento con il quale il responsabile raccoglie dati attraverso un sito Web. Ad esempio, nel caso in cui tali dati vengano raccolti per stipulare un contratto (abbonamento ad Internet, ordine di prodotti, ecc.) ed anche per la commercializzazione diretta, occorre che il responsabile specifichi chiaramente le due finalità in questione;

7. menzionare chiaramente il carattere obbligatorio o facoltativo delle informazioni richieste. Le informazioni obbligatorie sono quelle indispensabili all'espletamento del servizio richiesto. Ad esempio, è possibile evidenziare il carattere obbligatorio o facoltativo apponendo un asterisco all'informazione di carattere obbligatorio oppure, in alternativa, è possibile scrivere "facoltativo" accanto all'informazione non obbligatoria. Il fatto che la persona interessata non fornisca informazioni facoltative non deve tornarle a svantaggio in nessun modo;

8. menzionare l'esistenza di diritti, e delle condizioni per il loro esercizio, in base ai quali l'interessato possa esprimere il proprio consenso o, eventualmente, opporsi al trattamento di dati personali. È necessario parimenti fornire indicazioni sulle modalità di accesso, di rettifica o di cancellazione di tali dati o informazioni, sia riguardo la persona o il servizio al quale occorre rivolgersi per l'esercizio di tali diritti, che relativamente alla possibilità di esercitarli on-line e all'indirizzo fisico del responsabile;

9. elencare i destinatari o le categorie di destinatari delle informazioni raccolte. Al momento della raccolta di dati i siti Internet dovrebbero specificare se i dati raccolti saranno comunicati o resi disponibili a terzi - tra cui, in particolare, partner commerciali, imprese figlie, ecc. - e le relative motivazioni (con finalità diverse dalla fornitura del servizio richiesto e per la commercializzazione diretta).

In questi casi è fondamentale che gli utenti Internet dispongano di un'effettiva possibilità di opporsi on-line a detta comunicazione cliccando su di una casella di spunta ed esprimendo così il proprio favore alla comunicazione dei dati con finalità diverse dalla fornitura del servizio richiesto. Dal momento che il diritto di opporsi può essere esercitato in qualunque momento, occorre menzionare anche nelle informazioni fornite alla persona interessata la possibilità di esercitare tale diritto on-line. Il Gruppo di lavoro, consapevole degli svantaggi recati dal sovraccarico di informazioni negli schermi, è del parere che, se non appaiono nomi di destinatari, il responsabile del trattamento si impegna a non comunicare le informazioni raccolte a terzi i cui nomi ed indirizzi non siano stati forniti (a meno che la loro identità sia ovvia), garantisce che la comunicazione dei dati sia necessaria all'espletamento del servizio richiesto dall'utente Internet e che tale comunicazione sia effettuata esclusivamente con quella finalità.

10. Nel caso in cui sia previsto che il responsabile del trattamento trasmetta i dati a paesi esterni all'Unione europea, specificare se tali paesi garantiscono una protezione adeguata degli individui riguardo al trattamento dei loro dati personali, in forza dell'articolo 25 della direttiva 95/46/CE. In questo caso è necessario fornire informazioni specifiche a proposito dell'identità e dell'indirizzo dei destinatari (indirizzo fisico e/o elettronico);

11. fornire nome ed indirizzo (indirizzo fisico e/o elettronico) del servizio o della persona incaricata di rispondere ad eventuali quesiti riguardanti la protezione di dati personali;

12. menzionare chiaramente l'esistenza di procedure di raccolta automatica di dati prima di utilizzare simili metodi per detta raccolta.
Nel caso di un ricorso a tali procedure è necessario che la persona interessata riceva le informazioni contenute in questo documento. Detta persona dovrà inoltre essere informata circa il nome del dominio dal quale il server del sito trasmette le procedure di raccolta automatica, le finalità di dette procedure, il loro periodo di validità, l'eventualità in cui l'accettazione di tali procedure sia necessaria per visitare il sito e le possibili conseguenze di una loro disattivazione. Se vi sono altri responsabili del trattamento coinvolti nella raccolta dei dati personali occorre che la persona interessata riceva tutte le informazioni riguardanti l'identità del responsabile e le finalità del trattamento relativamente a ciascun responsabile di detto trattamento.

È necessario comunicare la possibilità di opporsi alla raccolta prima di ricorrere a qualsiasi procedura automatica che provochi la connessione di un utente PC ad un altro sito Web. Es. allo scopo di evitare che un secondo sito possa raccogliere dati ad insaputa di in utente Internet nel caso in cui questo venga automaticamente connesso da un sito Web ad un altro per visualizzare pubblicità sotto forma di banner.
Ad esempio, se un cookie viene collocato dal server del responsabile del trattamento è necessario comunicare detta informazione prima che venga spedito all'hard disk dell'utente Internet, in aggiunta alle informazioni fornite grazie alla tecnologia esistente che si limita a specificare il nome del sito di trasmissione ed il periodo di validità di detto cookie.

13. Indicare le misure di sicurezza a garanzia dell'autenticità del sito, del grado di completezza e riservatezza delle informazioni trasmesse nella detta rete in applicazione della legislazione nazionale applicabile.

14. Fornire le informazioni in tutte le lingue usate nel sito Web e, specialmente, in quei passaggi ove avviene la raccolta dei dati personali.

15. Che i responsabili del trattamento verifichino la coerenza delle informazioni contenute nei vari documenti destinati al sito (le sezioni "dati personali e protezione della vita privata", i moduli elettronici, testi relativi alle condizioni generali di vendita e ad altre comunicazioni commerciali).

16. Il Gruppo di lavoro ritiene che le seguenti informazioni debbano apparire direttamente sullo schermo prima che avvenga la raccolta, così da assicurare un giusto trattamento dei dati.
Dette informazioni riguardano:
- l'identità del responsabile del trattamento;
- la/le finalità;
- la natura obbligatoria o facoltativa delle informazioni richieste;
- i destinatari o le categorie di destinatari dei dati raccolti;
- l'esistenza del diritto di accesso e di rettifica;
- l'esistenza del diritto di opporsi a qualsiasi comunicazione dei dati a terzi con finalità diverse dalla fornitura del servizio richiesto e le modalità per esercitare tale diritto (ad esempio fornendo la possibilità di cliccare su una casella di spunta)
- le informazioni da fornire in caso di utilizzo di procedure di raccolta automatica; - il livello di sicurezza nel corso di tutte le fasi del trattamento compresa la trasmissione, ad esempio sulle reti.

In tali situazioni le informazioni devono essere fornite interattivamente e devono apparire sullo schermo. Così, nel caso di metodi automatici di raccolta dati, dette informazioni possono essere fornite, se necessarie, tramite la tecnica delle finestre pop-up.

A proposito del livello di sicurezza nel corso della trasmissione dei dati dall'apparecchiatura occorre visualizzare un'intestazione del tipo "Stai accedendo ad una connessione protetta" oppure le procedure di informazione automatica presenti nei browser, come la comparsa di icone specifiche sotto forma di chiave o di lucchetto.

17. Il Gruppo di lavoro ritiene inoltre che sia necessario poter accedere ad informazioni esaustive riguardo alla politica di tutela della sfera privata (comprese le modalità per l'esercizio del diritto d'accesso) direttamente dalla pagina d'entrata del sito e ovunque vengano raccolti dati personali on-line. Il titolo dell'intestazione su cui cliccare deve essere sufficientemente messo in risalto, chiaro e preciso in modo da consentire all'utente Internet di crearsi un'idea chiara del contenuto al quale sta per accedere. Ad esempio, l'intestazione potrebbe asserire "Stiamo raccogliendo e trattando dati personali che La riguardano. Per ulteriori informazioni clicchi qui" oppure "Dati personali o tutela della sfera privata". Il contenuto delle informazioni alle quali l'utente Internet è indirizzato deve altresì essere sufficientemente preciso.

Il Gruppo di lavoro desidera inoltre attirare l'attenzione dei destinatari della presente Raccomandazione su altri diritti dell'individuo ed obblighi dei responsabili del trattamento basati su direttive di particolare attinenza nell'ambito della raccolta di dati personali su siti Web. Il Gruppo di lavoro ritiene che le raccomandazioni seguenti, così come le indicazioni sulle informazioni, abbiano un'utilità pratica immediata sia per i responsabili del trattamento che per gli utenti Internet.

18. Raccogliere esclusivamente i dati necessari per il conseguimento dello scopo prefisso;

19. garantire che i dati siano trattati esclusivamente nelle suddette legittime modalità, conformemente ad uno dei criteri elencati nell'articolo 7 della direttiva 95/46/CE;

20. garantire l'effettivo esercizio del diritto di accesso e di rettifica; l'esercizio di tali diritti dovrebbe essere possibile sia all'indirizzo fisico del responsabile del trattamento che on-line. È necessario predisporre particolari misure di sicurezza affinché esclusivamente la persona interessata abbia accesso on-line alle informazioni che la riguardano;

21. conformarsi al principio della "finalità" o "scopo" in base al quale occorre far uso di dati personali solo se necessario e per finalità determinate. In altri termini, in assenza di un motivo legittimo, non è possibile fare uso di dati personali ed è necessario mantenere l'anonimato degli individui (articolo 6, paragrafo 1, punto b) della direttiva 95/46/CE). Detto principio è altresì denominato "principio di minimizzazione".

22. Fornire ed incoraggiare la consultazione in modalità anonima di siti commerciali, nello stesso ambito descritto nel punto 21, senza richieste di identificazione degli utenti per cognome, nome, indirizzo di posta elettronica o altri dati identificativi.

Qualora sia necessario un collegamento ad una persona senza completa identificazione della stessa è bene suggerire ed accogliere l'uso di pseudonimi di qualsivoglia natura.

Ove non sussistano necessità di identificazione legale occorre incoraggiare ed accogliere l'uso di pseudonimi, anche nel caso di determinate operazioni. Un esempio è dato dall'uso di certificati pseudonimi per le firme elettroniche (cfr. articolo 8 della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche).

23. Stabilire un periodo di conservazione per i dati raccolti. È possibile conservare detti dati esclusivamente per il tempo necessario allo scopo del trattamento indicato e perseguito (articolo 6 della direttiva 95/46/CE e articolo 6 della direttiva 97/66/CE).

24. Adottare gli accorgimenti necessari per garantire la sicurezza dei dati nel corso del loro trattamento e della loro trasmissione (ad esempio limitare e determinare il numero delle persone che hanno accesso ai dati, far uso di trasmissioni cifrate, ecc.; articolo 17 della direttiva 95/46/CE).

25. Se è coinvolto un responsabile per l'elaborazione, ad esempio per ospitare un sito Web, stipulare un contratto che gli imponga di attuare appropriate misure di sicurezza in conformità anche della normativa dello Stato membro in cui si trova il responsabile per l'elaborazione, nonché effettuare il trattamento dei dati personali attenendosi esclusivamente alle indicazioni del responsabile di detto trattamento.

26. A seconda dei casi e in forza della legge nazionale, procedere alla notificazione dell'autorità di controllo (se il responsabile dell'elaborazione del sito si trova nell'Unione europea o se lo stesso dispone di un rappresentante nell'Unione europea). Il numero di registrazione di detta notifica può essere indicato all'interno del sito, in modo vantaggioso, al di sotto dell'intestazione destinata alla protezione dei dati.

27. Se vengono trasferite informazioni ad un paese terzo in cui non è garantito un adeguato livello di protezione è necessario assicurare che il trasferimento dei dati avvenga esclusivamente se lo stesso è in linea con le deroghe all'articolo 26 della direttiva 95/46/CE. In questi casi occorre informare le persone delle adeguate garanzie fornite affinché il trasferimento risulti lecito.

28. Per ciò che concerne la commercializzazione diretta per posta elettronica:
- il Gruppo di lavoro ripropone il proprio parere secondo il quale gli indirizzi di posta elettronica reperiti nelle aree pubbliche di Internet all'insaputa delle persone interessate, ad esempio nei gruppi di discussione, non sono stati raccolti lecitamente. Tali indirizzi non possono perciò essere utilizzati con finalità diverse da quelle per le quali sono stati originariamente resi pubblici; in particolar modo non possono essere utilizzati per la commercializzazione diretta.
- fare uso di indirizzi di posta elettronica per la commercializzazione diretta a condizione che questi siano stati raccolti lealmente e legalmente. Affinché la raccolta sia leale e legale è necessario che le persone interessate siano state informate della possibilità dell'uso di tali dati per la commercializzazione diretta e che dette persone abbiano potuto acconsentire a tale uso direttamente al momento della raccolta (cliccando su una casella di spunta). L'invio di posta elettronica a scopo promozionale deve altresì prevedere la possibilità di esercitare il recesso on-line dall'elenco di indirizzi impiegato.

29. Per ciò che concerne la spedizione di newsletter:
- Procurarsi il previo consenso delle persone interessate e garantire la possibilità di un loro recesso da tali spedizioni in qualsiasi momento; occorrerà pertanto informare dette persone riguardo a questa possibilità ogniqualvolta viene spedita una newsletter.

Il gruppo di lavoro invita il Consiglio, la Commissione europea, il Parlamento europeo e gli Stati membri a tener conto della presente raccomandazione.

Il gruppo si riserva la facoltà di formulare ulteriori osservazioni.

Fatto a Bruxelles, 21 maggio 2001